华为交换机基础配置之三十五：SFTP服务器配置示例

组网需求

如图1所示，终端PC与设备路由可达，10.136.23.4是设备的管理网口IP地址。用户希望在终端与设备之间进行安全的文件传输操作，以防止普通FTP服务带来的“中间人”攻击和一些网络欺骗（DNS欺骗和IP欺骗）。将设备配置为SSH服务器，提供SFTP服务，服务器通过对客户端的认证和双向的数据加密，实现用户对安全文件传输操作的要求。

图1 配置通过SFTP进行文件操作组网图

配置思路

采用如下的思路配置用户通过SFTP进行文件操作：

1. 在SSH服务器端生成本地密钥对及使能SFTP服务器功能，实现在服务器端和客户端进行安全地数据交互。
2. 配置SSH服务器端的VTY用户界面。
3. 配置SSH用户，包括认证方式、服务类型、授权目录以及用户名和密码等。
4. 从终端通过第三方软件OpenSSH实现访问SSH服务器。

操作步骤

1. 在服务器端生成本地密钥对，并使能SFTP服务器功能。

<HUAWEI> system-view
[HUAWEI] sysname SSH_Server
[SSH_Server] dsa local-key-pair create
Info: The key name will be: SSH_Server_Host_DSA.                                                                                   
Info: The key modulus can be any one of the following : 1024, 2048.                                                            
Info: If the key modulus is greater than 512, it may take a few minutes.                                                            
Please input the modulus [default=2048]:                                                                                            
Info: Generating keys...                                                                                                            
Info: Succeeded in creating the DSA host keys.            

[SSH_Server] ssh server-source -i MEth 0/0/1    
//如果设备无管理网口，则可配置为管理IP地址对应的接口。如果此处服务器端源地址配置为了非管理IP地址及其对应的接口，则客户端必须使用配置的源地址才能连接服务器。
[SSH_Server] sftp server enable           

2、在服务器端配置VTY用户界面。

[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit           

3、配置SSH用户，包括认证方式、服务类型、授权目录以及用户名和密码等。

[SSH_Server] ssh user client001 authentication-type password
[SSH_Server] ssh user client001 service-type sftp
[SSH_Server] ssh user client001 sftp-directory flash: 
[SSH_Server] aaa
[SSH_Server-aaa] local-user client001 password irreversible-cipher YsHsjx_202206
[SSH_Server-aaa] local-user client001 privilege level 15
[SSH_Server-aaa] local-user client001 service-type ssh
[SSH_Server-aaa] quit           

4、从终端通过OpenSSH软件实现访问SFTP服务器。

只有在用户终端安装了OpenSSH软件后，Windows命令行提示符才能识别OpenSSH相关命令。

说明：请使用与当前终端操作系统相匹配的OpenSSH版本，否则可能会导致通过SFTP方式访问交换机失败。

图2 访问界面

通过第三方软件连接设备后，进入SFTP视图，此时可以执行一系列文件操作。

配置文件

SSH_Server的配置文件

#
sysname SSH_Server
#
aaa
 local-user client001 password irreversible-cipher $1a$P2m&M5d"'JHR7b~SrcHF\Z\,2R"t&6V|zOLh9ygt;M\bjG$D>%@Ug/<3I$+=Y$
 local-user client001 privilege level 15
 local-user client001 service-type ssh
#
sftp server enable
ssh user client001
ssh user client001 authentication-type password
ssh user client001 service-type sftp
ssh user client001 sftp-directory flash:
ssh server-source -i MEth 0/0/1 
#
user-interface vty 0 14
 authentication-mode aaa
#
return