30-FTP-SFTP-TFTP操作
本章节下载 (342.23 KB)
目 录
& 说明:
新增FTP服务器的banner信息特性,请参见1.2.1 6. 。
FTP(File Transfer Protocol,文件传输协议)是IP网络上传输文件的通用协议。在万维网(WWW,World Wide Web)出现以前,用户使用命令行方式传输文件,最通用的应用程序就是FTP。虽然目前大多数用户在通常情况下选择使用E-mail和Web传输文件,但是FTP仍然被广泛使用。
FTP协议在TCP/IP协议族中属于应用层协议,用于在远端服务器和本地客户端之间传输文件,使用TCP端口20和21进行传输。端口20用于数据传输,端口21用于控制命令传输。FTP协议基本操作在RFC959中进行了描述。
FTP有两种文件传输模式:
l
二进制模式,用于传输程序文件;
l
ASCII码模式,用于传输文本文件。
H3C S5100-SI/EI系列以太网交换机在FTP应用中可以作为以下两种角色参与数据传输:
表1-1 H3C S5100-SI/EI系列以太网交换机在FTP应用中的两种角色
|
说明 |
注意事项 |
交换机做为FTP服务器 |
交换机作为FTP服务器时,为FTP客户端提供文件服务。用户在PC上可以运行FTP客户端程序登录到FTP服务器,访问服务器端的文件。 |
FTP功能可以正常使用的条件是以太网交换机和PC之间路由可达 |
交换机做为FTP客户端 |
用户在PC上通过终端仿真程序或Telnet程序建立与以太网交换机的连接后,输入ftp X.X.X.X命令(X.X.X.X代表远程FTP服务器的IP地址或主机名),并输入正确的用户名和密码后,即可登录到远程FTP服务器。交换机作为FTP客户端可以访问远程FTP服务器上的文件。 |
SFTP(Secure FTP,安全FTP)建立在SSH2连接的基础之上,它使得远程用户可以安全地登录交换机设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。同时,由于设备支持作为客户端的功能,用户可以从本地设备安全登录到远程设备上,进行文件的安全传输。
表1-2 FTP配置任务简介
|
配置任务 |
说明 |
详细配置 |
交换机做为FTP服务器的配置 |
创建FTP用户 |
必选 |
|
启动FTP服务器 |
必选 |
||
设置FTP服务器的连接空闲时间 |
可选 |
||
指定FTP服务器的源接口或源IP地址 |
可选 |
||
断开与指定用户的FTP连接 |
可选 |
||
指定FTP服务器的banner信息 |
可选 |
||
查看FTP服务器的配置显示 |
可选 |
||
交换机做为FTP客户端的配置 |
FTP客户端的基本配置 |
- |
|
指定FTP客户端的源接口或源IP地址 |
可选 |
设置FTP用户的用户名、密码,并将服务类型设置为FTP。用户名和密码将作为FTP客户端登录服务器时的验证信息,只有通过验证的用户才可以获得访问服务器的权限。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
添加本地用户,并进入本地用户视图 |
local-user
user-name |
必选 缺省情况下,系统中没有任何本地用户 |
设置指定用户的密码 |
password { simple | cipher } password |
可选 缺省情况下,未设置指定用户的密码 |
设置用户可以使用的服务类型为FTP |
service-type ftp |
必选 缺省情况下,系统不对用户授权任何服务 |
表1-4 启动FTP服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动FTP服务器 |
ftp server enable |
必选 缺省情况下,FTP服务器功能处于关闭状态 |
& 说明:
l H3C S5100-SI/EI系列以太网交换机作为FTP服务器时同时只能支持1个用户的访问。
l 当H3C S5100-SI/EI系列以太网交换机作为FTP服务器时,不能接收大于自身剩余存储空间的文件。如果客户端上传过大的文件,将会因服务器存储空间不足而中断FTP连接。
& 说明:
交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在启动FTP服务器功能时,才打开FTP使用的TCP 21端口。
l
在关闭FTP服务器功能时,同时关闭TCP 21端口。
设置该空闲时间后,如果服务器端在一定时间内没有收到客户端发来的服务请求,服务器端会断开与该客户端的连接,从而有效避免某用户长期占用该连接而不进行任何操作。
表1-5 设置FTP服务器的连接空闲时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置FTP服务器的连接空闲时间 |
ftp timeout minutes |
可选 缺省情况下,FTP服务器的连接空闲时间为30分钟 |
用户可以通过下面的配置,使FTP客户端只能使用FTP服务器提供的指定接口所对应的IP地址或指定IP地址作为目的地址访问FTP服务器,提高FTP服务的安全性。
& 说明:
源接口指设备上已经创建的VLAN接口或LoopBack接口,源IP指设备上已经配置的接口IP地址。源接口与源IP一一对应,指定了FTP服务器使用的源接口,即相当于指定该接口所对应的IP地址作为FTP服务器使用的源IP地址。
表1-6 指定FTP服务器的源接口或源IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定FTP服务器的源接口 |
ftp-server source-interface interface-type interface-number |
二者选其一 缺省情况下,未指定FTP服务器的源接口或源IP地址 |
指定FTP服务器的源IP地址 |
ftp-server source-ip ip-address |
& 说明:
l 指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。
l 指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。
l 同一时刻只能对FTP服务器设置一个源接口或源IP地址,即ftp-server source-interface和ftp-server source-ip两条命令中只能有一条生效。当用户使用这两条命令对FTP服务器的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。
l 如果交换机为集群当中的命令交换机或者成员交换机,则不要将ftp-server source-ip配置成集群私有IP地址,否则将导致FTP功能不可用。
通过以下操作,网络管理员可以在FTP服务器上强行断开与指定用户的连接,保障网络的安全运行。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
在FTP服务器端断开与指定用户的FTP连接 |
ftp disconnect user-name |
必选 |
& 说明:
当H3C S5100-SI/EI系列以太网交换机作为FTP服务器,网络管理员在服务器端强行断开与指定用户的FTP连接时,如果该用户正在进行数据传输,交换机将在传输完成之后执行中断操作。
banner信息的显示:在FTP服务器上设定banner信息后,用户通过FTP协议访问作为FTP服务器的交换机时,在FTP客户端会显示交换机上配置的banner信息。banner信息分为以下两种:
l
login banner信息:在FTP客户端与服务器端建立连接后,服务器将配置的login banner信息输出到FTP客户端的显示终端。
l
shell banner信息:在FTP客户端与服务器端已经建立连接,并通过输入正确的用户名和密码成功登录到FTP服务器后,服务器将配置的shell banner信息输出到FTP客户端的显示终端。
表1-8 配置FTP服务器的banner显示信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置login banner显示信息 |
header login text |
必选,二者选其一,也可同时配置 缺省情况下,没有配置banner信息 |
配置shell banner显示信息 |
header shell text |
& 说明:
有关header命令的具体内容请参见本手册“登录交换机”部分的详细介绍。
完成上述配置后,在任意视图下执行display命令,可以显示配置FTP服务器后的运行情况。通过查看显示信息,用户可以验证配置的效果。
表1-9 查看FTP服务器的配置显示
操作 |
命令 |
说明 |
查看交换机上FTP服务器功能的配置信息 |
display ftp-server |
display命令可以在任意视图下执行 |
查看当前为FTP服务器设置的源IP地址 |
display ftp-server source-ip |
|
查看当前登录到设备上的FTP用户 |
display ftp-user |
缺省情况下,交换机即可充当FTP客户端,此时交换机可与FTP服务器连接,并可在交换机上通过命令行对自身或服务器端进行相应的操作(如建立、删除目录等),具体请参见表1-10。
表1-10 FTP客户端可进行的基本配置
操作 |
命令 |
说明 |
进入FTP客户端视图 |
ftp [ cluster | remote-server [ port-number
] ] |
- |
设置文件传输模式为ASCII模式 |
ascii |
二者选其一 缺省情况下,文件传输模式为ASCII模式 |
设置文件传输模式为二进制模式 |
binary |
|
设置数据传输方式为被动方式 |
passive |
可选 缺省情况下,数据传输方式为被动方式 |
进入远程FTP服务器上的另一工作目录 |
cd pathname |
可选 |
把用户在远程SFTP服务器上的工作目录改变为上一级目录 |
cdup |
|
获得FTP客户端本地的工作目录 |
lcd |
|
显示用户在SFTP服务器上的当前工作目录的名称 |
pwd |
|
在FTP服务器上建立目录 |
mkdir pathname |
|
删除FTP服务器上的目录 |
rmdir pathname |
|
删除FTP服务器上指定的文件 |
delete remotefile |
|
查询FTP服务器上指定的文件 |
dir [ remotefile ] [ localfile ] |
可选 如果不指定文件名参数,将显示当前目录下所有文件。dir与ls的区别在于dir能显示文件的名称、目录和文件属性,ls只能显示文件名称和目录,不能显示文件属性 |
ls [ remotefile ] [ localfile ] |
||
从FTP服务器下载远程文件,并保存在本地 |
get remotefile [ localfile ] |
可选 |
上传本地的文件到远程FTP服务器 |
put localfile [ remotefile ] |
|
重命名FTP服务器上的文件 |
rename remote-source remote-dest |
|
使用指定的用户名和密码登录 |
user username [ password ] |
|
与远程FTP服务器建立控制连接 |
open { ip-address | server-name } [ port ] |
|
在不退出FTP客户端视图的前提下,将FTP客户端与FTP服务器断开 |
disconnect |
|
close |
||
终止与远程FTP服务器的连接,并退回到用户视图 |
quit |
|
bye |
||
显示FTP协议命令的帮助 |
remotehelp [ protocol-command ] |
|
打开verbose开关 |
verbose |
可选 缺省情况下,开启verbose开关 |
用户可以通过下面的配置,使交换机作为FTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与远程FTP服务器的连接。
表1-11 指定FTP客户端的源IP地址和源接口
操作 |
命令 |
说明 |
指定FTP客户端本次连接FTP服务器使用的源接口 |
ftp { cluster | remote-server } source-interface interface-type interface-number |
可选 |
指定FTP客户端本次连接FTP服务器使用的源IP地址 |
ftp { cluster | remote-server } source-ip ip-address |
可选 |
进入系统视图 |
system-view |
- |
指定FTP客户端连接FTP服务器时固定使用的源接口 |
ftp source-interface interface-type interface-number |
二者选其一 缺省情况下,未指定FTP客户端的源接口或源IP地址 |
指定FTP客户端连接FTP服务器时固定使用的源IP地址 |
ftp source-ip ip-address |
|
显示FTP客户端连接FTP服务器时固定使用的源IP地址 |
display ftp source-ip |
display命令可以在任意视图下执行 |
& 说明:
l
指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。
l
指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。
l
本次连接配置优先级高于固定配置。如果FTP客户端在连接FTP服务器时配置的本次连接使用的源接口或源IP与已经配置的固定使用的源接口或源IP不同,本次连接配置会代替固定配置生效。
l
同一时刻只能对FTP客户端设置一个固定使用的源接口或源IP地址,即ftp source-interface和ftp source-ip两条命令中只能有一条生效。当用户使用这两条命令对FTP客户端固定使用的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。
将以太网交换机设置为FTP服务器,远端的PC作为FTP客户端。交换机的应用程序switch.bin保存在PC上,PC通过FTP向远端的交换机上传switch.bin,并通过boot boot-loader命令指定该switch.bin为下次启动时的应用程序,重新启动交换机,从而实现交换机应用程序的升级,同时将交换机的配置文件config.cfg下载到PC,实现配置文件的备份。
l
需要在FTP服务器上配置一个FTP用户名为switch,密码为hello。
l
已经配置交换机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2。交换机和PC之间路由可达。
图1-3 交换机作为FTP服务器的配置示意图
(1)
FTP服务器(SwitchA)上的配置:
网络管理员登录到交换机上,在交换机上开启FTP服务器功能,并设置用于登录本机FTP服务的用户名和密码,并将服务类型设置为FTP。(网络管理员可以在本地通过Console口登录到交换机上,也可以通过Telnet远程登录到交换机上。具体登录方式请参见本手册“登录交换机”部分的介绍)
# 设置FTP用户名为switch、密码为hello,并将服务类型设置为FTP。
<H3C>
<H3C> system-view
[H3C] ftp server enable
[H3C] local-user switch
[H3C-luser-switch] password simple hello
[H3C-luser-switch] service-type ftp
(2)
FTP客户端(PC)上的配置:
在PC上运行FTP客户端程序,与交换机建立FTP连接。通过上传操作把交换机的应用程序switch.bin上传到交换机的Flash根目录下,同时从交换机上下载配置文件config.cfg。这里以Windows系统的命令行窗口工具为例进行说明。
# 进入命令行窗口,并切换至switch.bin文件所在目录。(假设该文件存放在分区C的根目录下)
C:\>
# 使用ftp功能访问以太网交换机,并输入用户名switch、密码hello进行登录,进入FTP视图。
C:\> ftp 1.1.1.1
Connected to 1.1.1.1.
220 FTP service ready.
User (1.1.1.1:(none)): switch
331 Password required for switch.
Password:
230 User logged in.
ftp>
# 上传switch.bin文件。
ftp> put switch.bin
200 Port command okay.
150 Opening ASCII mode data connection for switch.bin.
226 Transfer complete.
# 下载config.cfg文件。
ftp> get config.cfg
200 Port command okay.
150 Opening ASCII mode data connection for config.cfg.
226 Transfer complete.
ftp: 3980 bytes received in 8.277 seconds 0.48Kbytes/sec.
上述操作仅以Windows系统的命令行窗口工具作为举例,当用户使用不同的FTP客户端进行登录时,具体操作请参见FTP客户端软件的使用说明。
注意:
l FTP客户端在向以太网交换机上传应用程序文件时,如果交换机的Flash空间不足,请删除Flash中未在使用中的应用程序,然后再上传新的应用程序到交换机Flash中。正在使用的应用程序是无法删除的,如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求,则只能通过bootrom菜单进行删除/下载操作。
l FTP客户端应用程序由用户自行提供,H3C系列以太网交换机不附带此软件。
(3)
FTP服务器(SwitchA)上的配置:
# 在上传完毕后,用户可以通过boot boot-loader命令来指定已上传的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。
<H3C> boot boot-loader switch.bin
<H3C> reboot
& 说明:
有关boot boot-loader命令及指定交换机启动程序的内容,请参见本手册“系统维护与调试”部分的详细介绍。
以太网交换机为FTP服务器,远端的PC为FTP客户端。FTP客户端与FTP服务器建立连接并成功登录后,在FTP客户端显示banner信息。
l
已经在FTP服务器上配置一个FTP用户名为switch,密码为hello。
l
已经配置交换机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2。交换机和PC之间路由可达。
l
需要配置交换机的login banner信息为“login banner appears”,shell banner信息为“shell banner appears”。
图1-4 FTP服务器的banner信息配置示意图
(1)
FTP服务器(Switch)上的配置:
# 配置交换机的login banner信息为“login banner appears”,shell banner信息为“shell banner appears”(组网需求中的需求一和需求二的具体配置请参考“1.2.3 交换机作为FTP服务器的配置举例”部分)。
<H3C> system-view
[H3C] header login %login banner appears%
[H3C] header shell %shell banner appears%
[H3C]
(2)
FTP客户端(PC)上的配置:
# 使用ftp功能访问以太网交换机,并输入用户名switch、密码hello进行登录,进入FTP视图。建立FTP连接后显示login banner信息,用户认证通过后显示shell banner信息。
C:\> ftp 1.1.1.1
Connected to 1.1.1.1.
220-login banner appears
220 FTP service ready.
User (1.1.1.1:(none)): switch
331 Password required for switch.
Password:
230-shell banner appears
230 User logged in.
以太网交换机作为FTP客户端,远端的PC作为FTP服务器。交换机的应用程序switch.bin保存在PC上。交换机通过FTP从远端的FTP服务器上下载switch.bin,并通过boot boot-loader命令指定switch.bin为下次启动时的应用程序,重新启动交换机,从而实现交换机应用程序的升级,同时将交换机的配置文件config.cfg上传到FTP服务器的目录switch下实现配置文件的备份。
l
需要在FTP服务器上存在一个FTP用户,其用户名为switch,密码为hello,并且对该用户授权了PC机上switch目录的读写权限。
l
需要配置交换机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2,交换机和PC之间路由可达。
图1-5 交换机作为FTP客户端的配置示意图
(1)
FTP服务器(PC)上的配置:
(2)
在PC上配置FTP服务器的相关参数:一个FTP用户名为switch,密码为hello。配置步骤请参考FTP服务器软件的使用说明。
(3)
FTP客户端(Switch)上的配置:
# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过Telnet远程登录到交换机上。各种登录方式请参见本手册“登录交换机”部分的介绍)
注意:
以太网交换机在从FTP服务器下载应用程序文件时,如果交换机的Flash空间不足,请删除Flash中未在使用中的应用程序,然后再上传新的应用程序到交换机Flash中。正在使用的应用程序是无法删除的,如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求,则只能通过bootrom菜单进行删除/下载操作。
# 在用户视图下输入ftp命令进行FTP连接,并输入用户名Switch、密码hello进行登陆,进入FTP视图。
<H3C> ftp 2.2.2.2
Trying ...
Press CTRL+K to abort
Connected.
220 FTP service ready.
User(none):switch
331 Password required for switch.
Password:
230 User logged in.
[ftp]
# 进入FTP服务器的授权路径。
[ftp] cd switch
# 执行put命令将交换机的配置文件config.cfg上传到FTP服务器。
[ftp] put config.cfg
# 执行get命令将FTP服务器上的文件switch.bin下载到交换机的Flash。
[ftp] get switch.bin
# 执行quit命令中断FTP连接,退回到用户视图下。
[ftp] quit
<H3C>
# 下载完毕后,用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。
<H3C> boot boot-loader switch.bin
<H3C> reboot
& 说明:
有关boot boot-loader命令及指定交换机启动程序的内容,请参见本手册“系统维护与调试”部分的详细介绍。
表1-12 SFTP配置任务简介
|
配置任务 |
说明 |
详细配置 |
交换机作为SFTP服务器的配置 |
启动SFTP服务器 |
必选 |
|
设置SFTP服务器的连接空闲时间 |
可选 |
||
支持的SFTP客户端软件 |
- |
||
交换机作为SFTP客户端的配置 |
SFTP客户端的基本配置 |
- |
|
指定SFTP客户端的源接口或源IP地址 |
可选 |
在启动交换机SFTP服务器功能前,需要完成此交换机SSH服务器功能的配置,并需将SSH用户的服务类型设置为SFTP或者all,具体配置步骤请参见本手册“SSH操作”中的SSH服务器配置部分。
表1-13 启动SFTP服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动SFTP服务器 |
sftp server enable |
必选 缺省情况下,交换机的SFTP服务器功能处于关闭状态 |
设置该空闲时间后,如果服务器端在一定时间内没有收到客户端发来的服务请求,服务器端会断开与该客户端的连接,从而有效避免某用户长期占用该连接而不进行任何操作。
表1-14 设置SFTP服务器的连接空闲时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置SFTP服务器的连接空闲时间 |
sftp timeout time-out-value |
可选 缺省情况下,SFTP服务器的连接空闲时间为10分钟 |
H3C S5100-SI/EI系列以太网交换机作为SFTP服务器时支持与SFTP客户端软件互通,例如SSH Tectia Client v4.2.0(SFTP) and V5.0和WINSCP等。
SFTP客户端支持的操作包括:登录设备、上传文件、下载文件、创建目录、修改文件或目录名、浏览目录结构内容、主动断开连接。
对客户端软件的配置操作请参考客户端软件的配置手册。
& 说明:
l 目前H3C S5100-SI/EI系列以太网交换机作为SFTP服务器时只支持一个SFTP用户的连接,多个客户端登录或当一个客户端启用多个SFTP连接时,只有第一个SFTP用户的连接能够成功,后续SFTP用户的连接将会失败。
l 当用WINSCP客户端上传大文件时,如果服务器上已有与此文件同名的文件。建议将客户端报文超时时间置为600秒以上,防止由于设备删除文件时时间过长导致客户端超时无法响应设备端报文。同理,当删除服务器端大文件时,建议也将客户端报文超时时间置为600秒以上。
缺省情况下,交换机即可充当SFTP客户端,此时交换机可与SFTP服务器连接,并可在交换机上通过命令行对自身或服务器端进行相应的操作(如建立、删除目录等),具体请参见表1-15
表1-15 SFTP客户端可进行的基本配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入SFTP客户端视图 |
sftp { host-ip
| host-name } [ port-num ] [ identity-key { dsa | rsa } | prefer_kex { dh_group1 | dh_exchange_group } | prefer_ctos_cipher
{ des | aes128 } | prefer_stoc_cipher { des | aes128 } | prefer_ctos_hmac { sha1
| sha1_96 | md5 | md5_96 } | prefer_stoc_hmac { sha1 | sha1_96 | md5 | md5_96 } ] * |
必选 |
进入远程SFTP服务器上的另一工作目录 |
cd pathname |
可选 |
把用户在远程SFTP服务器上的工作目录改变为上一级目录 |
cdup |
|
显示用户在SFTP服务器上的当前工作目录的名称 |
pwd |
|
在SFTP服务器上建立目录 |
mkdir pathname |
|
删除SFTP服务器上的目录 |
rmdir pathname |
|
删除SFTP服务器上指定的文件 |
delete remotefile |
可选 delete和remove两条命令的功能相同 |
remove remote-file |
||
查询SFTP服务器上指定的文件 |
dir [ remotefile ] [ localfile ] |
可选 如果不指定文件名参数,将显示当前目录下所有文件。dir与ls的区别在于dir能显示文件的名称、目录和文件属性,ls只能显示文件名称和目录,不能显示文件属性。 |
查询SFTP服务器上指定的文件 |
ls [ remotefile ] [ localfile ] |
|
从SFTP服务器下载远程文件,并保存在本地 |
get remotefile [ localfile
] |
可选 |
上传本地的文件到远程SFTP服务器 |
put localfile [ remotefile
] |
|
重命名SFTP服务器上的文件 |
rename remote-source remote-dest |
|
退出SFTP客户端视图到系统视图 |
bye |
bye,exit和quit三条命令的功能相同 |
exit |
||
quit |
||
显示相关命令的帮助信息 |
help [ all | command-name ] |
可选 |
& 说明:
如果在服务器端指定客户端的认证方式为公钥认证,当客户端登录SFTP服务器端时客户端需要读取本地的私钥进行验证。由于公钥认证可以采用RSA和DSA两种加密算法,所以需要用identity-key关键字指定采用的加密算法,才能得到正确的本地私钥数据,否则无法登录成功。有关内容请参见本手册“SSH”部分的详细介绍。
用户可以通过以下配置,使SFTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与SFTP服务器的连接,增加了业务的可管理性。
表1-16 指定SFTP客户端的源接口或源IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定SFTP客户端的源接口 |
sftp source-interface interface-type interface-number |
二者选其一 缺省情况下,未指定SFTP业务报文源接口或源IP地址 |
指定SFTP客户端的源IP地址 |
sftp source-ip ip-address |
|
显示当前SFTP客户端的源IP地址 |
display sftp source-ip |
可选 display命令可以在任意视图下执行 |
如图1-6,SFTP客户端(SwitchA)和SFTP服务器(SwitchB)之间建立SSH连接,SFTP客户端(Switch A)登录到SFTP服务器(Switch B),进行文件管理和文件传送等操作,在SFTP服务器上已经存在SFTP用户名为client001、密码为abc。
图1-6 SFTP配置示意图
(1)
SFTP服务器(Switch B)上的配置:
# 生成密钥对
<H3C> system-view
[H3C] public-key local create rsa
[H3C] public-key local create dsa
# 在交换机上创建VLAN接口,并为其分配IP地址,此IP地址将作为客户端连接到SFTP服务器时所使用的目的地址。
[H3C] interface vlan-interface 1
[H3C-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[H3C-Vlan-interface1] quit
# 设置SFTP客户端登录SFTP服务器用户界面的SSH认证方式为AAA认证。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
# 设置交换机上远程用户登录协议为SSH。
[H3C-ui-vty0-4] protocol inbound ssh
[H3C-ui-vty0-4] quit
# 创建本地用户client001。
[H3C] local-user client001
[H3C-luser-client001] password simple abc
[H3C-luser-client001] service-type ssh
[H3C-luser-client001] quit
# 配置SSH用户认证方式为password。SSH的认证超时时间、尝试次数以及服务器密钥更新时间采用系统默认值。
[H3C] ssh user client001 authentication-type password
# 指定用户的服务类型为SFTP。
[H3C] ssh user client001 service-type sftp
# 启动SFTP服务器。
[H3C] sftp server enable
(2)
SFTP客户端(Switch A)上的配置:
# SwitchA上的VLAN接口的IP地址必须同SwitchB上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。
<H3C> system-view
[H3C] interface vlan-interface 1
[H3C-Vlan-interface1] ip address 192.168.0.2 255.255.255.0
[H3C-Vlan-interface1] quit
# 与远程SFTP服务器建立连接,并输入用户名client001、密码为abc进行登陆,进入sftp-client视图。
[H3C] sftp 192.168.0.1
Input Username: client001
Trying 192.168.0.1 ...
Press CTRL+K to abort
Connected to 192.168.0.1 ...
The Server is not authenticated.
Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
Enter password:
sftp-client>
# 显示服务器的当前目录,删除文件z,并检查此文件是否删除成功。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup
0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup
0 Sep 01 08:00 z
Received status: End of file
Received status: Success
sftp-client> delete z
The following files will be deleted:
/z
Are you sure to delete it?(Y/N):y
This operation may take a long time.Please wait...
Received status: Success
File successfully Removed
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup
0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
Received status: End of file
Received status: Success
# 新增目录new1,并检查新目录是否创建成功。
sftp-client> mkdir new1
Received status: Success
New directory created
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup
0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup
0 Sep 02 06:30 new1
Received status: End of file
Received status: Success
# 将目录名new1更名为new2,并查看是否更名成功。
sftp-client> rename new1 new2
File successfully renamed
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup
0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup
0 Sep 02 06:33 new2
Received status: End of file
Received status: Success
# 从服务器上下载文件pubkey2到本地,并更名为public。
sftp-client> get pubkey2 public
This operation may take a long time, please wait...
.
Remote file:/pubkey2 ---> Local file: public..
Received status: End of file
Received status: Success
Downloading file successfully ended
# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。
sftp-client> put pu puk
This operation may take a long time, please wait...
Local file: pu ---> Remote file: /puk
Received status: Success
Uploading file successfully ended
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup
0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup
0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
Received status: End of file
Received status: Success
sftp-client>
# 退出SFTP。
sftp-client> quit
Bye
[H3C]
相对于FTP,TFTP(Trivial File Transfer Protocol,简单文件传输协议)使用更加方便,在连接过程中不需要认证控制,适用于客户端和服务器之间不需要复杂交互的环境。TFTP是基于UDP的应用层协议,使用UDP端口69进行数据传输。TFTP协议基本操作在RFC1986中进行了描述。
TFTP协议传输是由客户端发起的:
l
当TFTP客户端需要从服务器下载文件时,由客户端向TFTP服务器发送读请求包,然后从服务器接收数据,并向服务器发送确认;
l
当TFTP客户端需要向TFTP服务器上传文件时,由客户端向TFTP服务器发送写请求包,然后向服务器发送数据,并接收服务器的确认。
H3C S5100-SI/EI系列以太网交换机只能作为TFTP客户端。
当下载大于以太网交换机的flash剩余空间大小的文件时,设备的处理方式分为以下两种:
l
如果TFTP服务器支持文件大小协商的扩展协议,则交换机和服务器通过文件大小协商发现交换机剩余空间不足,这时直接放弃文件下载操作。
l
如果TFTP服务器不支持文件大小协商的扩展协议,则交换机从服务器接收数据。直到交换机的flash已满,而还有待下载的数据时,则提示空间不足,并删除这次部分下载完成的文件数据,文件下载失败。
TFTP传输文件有两种模式:
l
二进制模式,用于传输程序文件。
l
ASCII码模式,用于传输文本文件。
& 说明:
配置TFTP之前,网络管理员需要先配置TFTP客户端和服务器的IP地址,并且确保客户端和服务器路由可达。
表2-1 TFTP配置任务简介
|
配置任务 |
说明 |
详细配置 |
交换机作为TFTP客户端的配置 |
TFTP客户端的基本配置 |
- |
|
指定TFTP客户端的源接口或源IP地址 |
可选 |
||
TFTP服务器的配置 |
具体配置请参见相关手册 |
- |
- |
缺省情况下,交换机即可充当TFTP客户端,此时交换机可与TFTP服务器连接,并可在交换机上通过命令行对自身或服务器端进行相应的操作(如上传、下载文件等),具体请参见表2-2。
表2-2 TFTP客户端可进行的基本配置
操作 |
命令 |
说明 |
交换机从TFTP服务器获取文件 |
tftp tftp-server get source-file [ dest-file
] |
可选 |
交换机向TFTP服务器上传文件 |
tftp tftp-server put source-file
[ dest-file ] |
可选 |
进入系统视图 |
system-view |
- |
设置TFTP传输文件时的传输方式 |
tftp { ascii | binary } |
可选 缺省情况下,数据传输方式为binary |
指定TFTP客户端在连接TFTP服务器时所选用的ACL规则 |
tftp-server acl acl-number |
可选 缺省情况下,未指定TFTP客户端在连接TFTP服务器时所选用的ACL规则 |
用户可以通过下面的配置,使交换机作为TFTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与远程TFTP服务器的连接。
表2-3 指定TFTP客户端使用的源接口和源IP地址
操作 |
命令 |
说明 |
指定TFTP客户端本次连接TFTP服务器使用的源接口 |
tftp tftp-server source-interface interface-type interface-number { get source-file [ dest-file ] | put source-file-url [ dest-file ] } |
可选 缺省情况下,未指定TFTP客户端使用的源接口和源IP地址 |
指定TFTP客户端本次连接TFTP服务器使用的源IP地址 |
tftp tftp-server source-ip ip-address { get source-file [ dest-file ] | put source-file-url [ dest-file ] } |
可选 |
进入系统视图 |
system-view |
- |
指定TFTP客户端连接TFTP服务器时固定使用的源接口 |
tftp source-interface interface-type interface-number |
二者选其一 缺省情况下,未指定TFTP客户端使用的源接口和源IP地址 |
指定TFTP客户端连接TFTP服务器时固定使用的源IP地址 |
tftp source-ip ip-address |
|
查看TFTP客户端连接TFTP服务器时固定使用的源IP地址 |
display tftp source-ip |
可选 display命令可以在任意视图下执行 |
& 说明:
l
指定TFTP客户端使用的源接口时,指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。
l
指定TFTP客户端使用的源IP地址时,指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。
l
本次连接配置优先级高于固定配置。如果TFTP客户端在连接TFTP服务器时配置的本次连接使用的源接口或源IP与已经配置的固定使用的源接口或源IP不同,本次连接配置会代替固定配置生效。
l
同一时刻只能对TFTP客户端设置一个固定使用的源接口或源IP地址,即tftp source-interface和tftp source-ip两条命令中只能有一条生效。当用户使用这两条命令对TFTP客户端固定使用的源接口或源IP地址进行重复设置时,新的配置会覆盖已有配置。
交换机作为TFTP客户端,PC作为TFTP服务器。交换机的应用程序switch.bin保存在PC上。交换机通过TFTP从远端的TFTP服务器上下载switch.bin,并通过boot boot-loader命令指定switch.bin为下次启动时的应用程序,重新启动交换机,从而实现交换机应用程序的升级,同时将交换机的配置文件config.cfg上传到TFTP服务器的工作目录实现配置文件的备份。
l
在TFTP服务器上配置了TFTP服务器的工作目录。
l
需要配置交换机上的一个VLAN接口的IP地址为1.1.1.1,交换机和PC相连的端口属于该VLAN,PC的IP地址为1.1.1.2。
图2-1 TFTP配置示意图
(1)
TFTP服务器(PC)上的配置:
(2)
在PC上启动了TFTP服务器功能,配置TFTP服务器的工作目录
(3)
TFTP客户端(Switch)上的配置:
# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过Telnet远程登录到交换机上。各种登录方式请参见“登录交换机”)
注意:
以太网交换机在从TFTP服务器下载应用程序文件时,如果交换机的Flash空间不足,请删除Flash中未在使用中的应用程序,然后再上传新的应用程序到交换机Flash中。正在使用的应用程序是无法删除的,如果在不删除正在使用的应用程序的情况下剩余存储空间无法达到要求,则只能通过bootrom菜单进行删除/下载操作。
# 进入系统视图。
<H3C> system-view
[H3C]
# 配置VLAN接口的IP地址为1.1.1.1,同时保证与PC相连的端口属于这个VLAN。(本例中以VLAN 1为例。)
[H3C] interface Vlan-interface 1
[H3C-Vlan-interface1] ip address 1.1.1.1 255.255.255.0
[H3C-Vlan-interface1] quit
# 将交换机的应用程序switch.bin从TFTP服务器下载到交换机。
<H3C> tftp 1.1.1.2 get switch.bin switch.bin
# 将交换机的配置文件config.cfg上传到TFTP服务器。
<H3C> tftp 1.1.1.2 put config.cfg config.cfg
# 下载完毕后,用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。
<H3C> boot boot-loader switch.bin
<H3C> reboot
& 说明:
有关boot boot-loader命令及指定交换机启动程序的内容,请参见本手册“系统维护与调试”部分的介绍。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!