s3900操作手册-Release 1510 (V1.00)35-SSH终端服务操作

QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务目录i目录第1章SSH终端服务.............................................................................................................1-11.1SSH终端服务....................................................................................................................1-11.1.1SSH简介.................................................................................................................1-11.1.2SSHServer配置.....................................................................................................1-31.1.3SSHClient配置.......................................................................................................1-91.1.4SSH配置显示........................................................................................................1-101.1.5SSHServer配置举例............................................................................................1-111.1.6SSHClient配置举例.............................................................................................1-121.2SFTP服务........................................................................................................................1-141.2.1SFTP简介.............................................................................................................1-141.2.2SFTPServer配置..................................................................................................1-141.2.3SFTPClient配置...................................................................................................1-151.2.4SFTP配置举例......................................................................................................1-19QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务第1章SSH终端服务1-1第1章SSH终端服务1.1SSH终端服务1.1.1SSH简介SSH是SecureShell（安全外壳）的简称。当用户通过一个不能保证安全的网络环境远程登录到交换机时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。交换机作为SSHServer，可以接受多个SSH客户的连接，目前支持的版本是SSH2.0。SSH客户端的功能是允许用户与支持SSHServer的交换机、UNIX主机等建立SSH连接。下面的图1-1和图1-2，分别表示了客户端与服务器端建立SSH通道的两种方式：z通过本地局域网连接100BASE-TXServerPCSSH-ClientEthernetWorkstationLaptopSwitchSSH-Server100BASE-TXServerPCSSH-ClientEthernetWorkstationLaptopSwitchSSH-Server图1-1在局域网内建立SSH通道z通过广域网连接QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务第1章SSH终端服务1-2LocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopPCLaptopLaptopWorkstationWorkstationRemoteEthernetServerLocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopLocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopPCLaptopLaptopWorkstationWorkstationRemoteEthernetRemoteSwitchSSH-ServerServerLocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopPCLaptopLaptopWorkstationWorkstationRemoteEthernetServerLocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopLocalSwitchLocalEthernetWANServerPCSSH-ClientPCLaptopLaptopPCLaptopLaptopWorkstationWorkstationRemoteEthernetRemoteSwitchSSH-ServerServer图1-2通过广域网建立SSH通道在整个通讯过程中，为实现SSH认证的安全连接，服务器端与客户端要经历如下五个阶段：(1)版本号协商阶段。具体步骤如下：z客户端向服务器端发送TCP连接请求。zTCP连接建立后，服务器端和客户端进行版本号协商。z如果协商成功，则进入密钥算法协商阶段，否则服务器端断开TCP连接。(2)密钥算法协商阶段。具体步骤如下：z服务器端随机生成RSA密钥对，并将公钥部分发送给客户端。z客户端以服务器端的公钥和本地随机产生的随机数为参数，计算出会话密钥。z客户端使用服务器端的公钥，对用于计算会话密钥的随机数进行加密，回送给服务器端。z服务器端使用服务器端的私钥对客户端回送回来的数据进行解密，得到客户端的随机数。z服务器端以服务器端的公钥和客户端回送的随机数为参数，使用和客户端相同的算法计算出会话密钥。通过以上步骤，服务器端和客户端就取得了相同的会话密钥。会话时，两端都使用会话密钥进行加密和解密，保证了数据传送的安全。(3)认证方法协商阶段：z客户端向服务器端发送自己的用户名信息。z服务器端启动对该用户的认证。如果服务器端配置了该用户不需要认证，则直接进入会话请求阶段。QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务第1章SSH终端服务1-3z客户端采用某种认证方法向服务器端进行认证，直到认证通过或服务器由于超时而断开连接。 说明：SSH提供两种认证方法：口令认证和RSA认证。(1)口令认证过程如下：z客户端将认证用户名和口令发送给服务器端；z服务器端对客户端发送过来的用户名及口令与本地配置信息进行比较，如果两者完全匹配，则通过认证。(2)RSA认证过程如下：z服务器端进行客户端的RSA公钥配置；z客户端向服务器端发送自己RSA公钥的成员模数；z服务器端对此成员模数进行有效性认证，认证通过后产生一个随机数，使用客户端的RSA公钥加密后回送给客户端；z服务器端和客户端均以此随机数和会话号作为参数计算出用于认证的数据；z客户端将自己计算出来的认证数据发送给服务器端；z服务器端将客户端发送过来的认证数据与本地计算出的认证数据进行比较，如果两者相同，则认证通过。(4)会话请求阶段：认证通过后，客户端将向服务器端发送会话请求。服务器端成功处理请求后，SSH进入交互会话阶段。(5)交互会话阶段：客户端和服务器端进行数据交互，直到会话结束。1.1.2SSHServer配置SSH服务器端的配置命令包括：表1-1SSH2.0的配置配置项命令关键字说明设置所在用户界面支持的协议protocolinbound请参见“配置所在用户界面支持的协议”生成本地RSA密钥对rsalocal-key-paircreate销毁本地RSA密钥对rsalocal-key-pairdestroy请参见“生成或销毁RSA密钥”为SSH用户指定一种缺省的认证方式sshauthentication-typedefault为SSH用户配置认证方式sshuserusernameauthentication-type请参见“指定用户的认证方式”QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务第1章SSH终端服务1-4配置项命令关键字说明设置SSH认证超时时间sshservertimeout设置SSH认证重试次数sshserverauthentication-retries设置服务器密钥的更新时间sshserverrekey-interval设定服务器端兼容SSH1.x版本的客户端sshservercompatible-ssh1xenable请参见“配置服务器上的SSH管理功能”为SSH用户分配公钥sshuserusernameassignrsa-keykeyname请参见“为客户端分配公共密钥”1.配置所在用户界面支持的协议该配置任务用来指定所在的用户界面支持的协议。表1-2设置所在用户界面支持的协议操作命令说明进入系统视图system-view-进入单一或多个用户界面视图user-interface[type-keyword]number[ending-number]必选配置所在用户界面支持的协议protocolinbound{all|ssh|telnet}可选缺省情况下，系统支持所有的协议，即支持Telnet和SSH注意：z如果在该用户界面上配置支持的协议是SSH，为确保登录成功，请务必配置登录用户界面的认证方式为authentication-modescheme（采用AAA认证）。z如果用户配置了认证方式为authentication-modepassword或authentication-modenone，则无法配置protocolinboundssh；反之，如果配置了protocolinboundssh，则认证方式无法配置为authentication-modepassword或authentication-modenone。QuidwayS3900系列以太网交换机操作手册-Release1510SSH终端服务第1章SSH终端服务1-52.生成或销毁RSA密钥该配置任务用来生成或销毁服务器端的RSA密钥。RSA密钥的命名方式为交换机名称加上“_Host”和交换机名称加上