服务器scp下载交换机配置文件命令

1.2.22  scp

scp命令用来与远程的SCP服务器建立连接，并进行文件传输。

【命令】

（非FIPS模式）

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc | sm4-cbc } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 | sm3 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm | des-cbc | sm4-cbc } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 | sm3 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password [ no-more-input ] ] ]

（FIPS模式）

scp server [ port-number ] [ vpn-instance vpn-instance-name ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp256 | x509v3-ecdsa-sha2-nistp384 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes128-ctr | aes128-gcm | aes192-ctr | aes256-cbc | aes256-ctr | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] * [ user username [ password password [ no-more-input ] ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv4地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

vpn-instance vpn-instance-name：服务器所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

get：指定下载文件操作。

put：指定上传文件操作。

source-file-name：源文件名称，为1～255个字符的字符串，区分大小写。

destination-file-name：目的文件名称，为1～255个字符的字符串，区分大小写。若未指定该参数，则表示使用源文件的名称作为目的文件名称。

identity-key：客户端publickey认证时采用的公钥算法，非FIPS模式下，缺省算法为dsa；FIPS模式下，缺省算法为rsa。如果服务器采用publickey认证，必须指定该参数。客户端使用指定算法的本地私钥生成数字签名或证书。

·     dsa：公钥算法为DSA。

·     ecdsa-sha2-nistp256：指定公钥长度为256的ECDSA算法。

·     ecdsa-sha2-nistp384：指定公钥长度为384的ECDSA算法。

·     rsa：公钥算法为RSA。

·     x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

·     x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

·     pki-domain domain-name：指定客户端证书的PKI域，为1～31个字符的字符串，不区分大小写，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省不支持压缩。

zlib：压缩算法ZLIB。

prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法为aes128-ctr。des-cbc、3des-cbc、aes128-cbc、aes128-ctr、aes128-gcm、aes192-ctr、aes256-cbc、aes256-ctr、aes256-gcm、sm4-cbc算法的安全强度和运算花费时间依次递增。

·     3des-cbc：3DES-CBC加密算法。

·     aes128-cbc：128位的AES-CBC加密算法。

·     aes128-ctr：128位AES-CTR加密算法。

·     aes128-gcm：128位AES-GCM加密算法。

·     aes192-ctr：192位AES-CTR加密算法。

·     aes256-cbc：256位的AES-CBC加密算法。

·     aes256-ctr：256位AES-CTR加密算法。

·     aes256-gcm：256位AES-GCM加密算法。

·     des-cbc：DES-CBC加密算法。

·     sm4-cbc：SM4-CBC加密算法。

prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法为sha2-256。md5、md5-96、sha1、sha1-96、sha2-256、sha2-512、sm3算法的安全强度和运算花费时间依次递增。

·     md5：HMAC算法HMAC-MD5。

·     md5-96：HMAC算法HMAC-MD5-96。

·     sha1：HMAC算法HMAC-SHA1。

·     sha1-96：HMAC算法HMAC-SHA1-96。

·     sha2-256：HMAC算法HMAC-SHA2-256。

·     sha2-512：HMAC算法HMAC-SHA2-512。

·     sm3：HMAC算法HMAC-SM3。

prefer-kex：密钥交换首选算法，缺省算法为ecdh-sha2-nistp256。dh-group-exchange-sha1、dh-group1-sha1、dh-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384算法的安全强度和运算花费时间依次递增。

·     dh-group-exchange-sha1：密钥交换算法diffie-hellman-group-exchange-sha1。

·     dh-group1-sha1：密钥交换算法diffie-hellman-group1-sha1。

·     dh-group14-sha1：密钥交换算法diffie-hellman-group14-sha1。

·     ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

·     ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法为aes128-ctr。支持的加密算法与客户端到服务器端的加密算法相同。

prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法为sha2-256。支持的加密算法与客户端到服务器端的HMAC算法相同。

public-key keyname：指定服务器端的主机公钥，用于验证服务器端的身份。其中，keyname表示已经配置的主机公钥名称，为1～64个字符的字符串，不区分大小写。

server-pki-domain domain-name：指定验证服务端证书的PKI域。其中，domain-name表示验证服务端证书的PKI域名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“"”。

source：指定与服务器通信的源IPv4地址或者源接口。缺省情况下，报文源IPv4地址为根据路由表项查找的发送此报文的出接口的主IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断，通常建议指定Loopback接口作为源接口，或者Loopback接口的IPv4地址作为源IPv4地址。

interface interface-type interface-number：指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address：指定源IPv4地址。

user username：指定SCP用户名，为1～80个字符的字符串，区分大小写。若用户登录时用户名中携带ISP域名，则其形式为pureusername@domain、pureusername/domain、domain\pureusername。

password password：指定明文密码，为1～63个字符的字符串，区分大小写。

no-more-input：表示不再进行交互式输入。若未指定该参数，则表示执行该命令后，设备会打印提示信息，用户需要根据提示信息进行输入。

【使用指导】

当客户端主机公钥算法协商成功为证书时，需要校验服务端证书是否正确，这样需要通过server-pki-domain指定服务端证书所在的PKI域名称，这样才能获取正确验证服务器证书。客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查，无需提前保存服务器的公钥。如果客户端没有指定验证服务端证书所在的PKI域，则缺省使用客户端证书所在的PKI域进行验证。

如果不指定用户名和密码，则表示以交互方式输入用户名和密码。

如果SCP服务器对客户端的认证方式为publickey认证，则本命令指定的密码将被忽略。

如果指定no-more-input参数，则执行本命令后，设备不会在以下情况时输出交互提示信息：

·     如果输入的用户名或密码错误，设备不会提示再次输入用户名和密码，而是直接认证失败；

·     客户端首次访问服务器时，设备不提示是否保存服务器公钥，客户端直接保存服务器公钥到本地；

·     首次登录或密码过期时不提示修改密码。

当设备作为SCP服务器，SCP客户端在指定destination-file-name参数时，支持以下两种方式指定目标文件名称：

·     指定destination-file-name为目标文件名称且不携带文件路径，此时源文件将从服务器下载至客户端的当前工作目录或从客户端上传至服务器的当前工作目录。比如，需要将服务器上的remote.bin文件下载到客户端的当前工作目录并改名为local.bin，可以将destination-file-name直接指定为local.bin。

·     指定destination-file-name为目标文件名称并携带文件路径，此时源文件将从服务器下载至客户端的指定文件路径或从客户端上传至服务器的指定文件路径，同时将文件名称改为目标文件名称。比如，需要将服务器上的remote.bin文件下载到客户端的指定路径flash:/logfile下，并将文件名称修改为local.bin。可以将destination-file-name指定为flash:/logfile/local.bin或者logfile/local.bin。

【举例】

# SCP客户端采用publickey认证方式，登录地址为200.1.1.1的远程SCP服务器，下载名为abc.txt的文件，采用如下连接策略，并指定服务器端的公钥名称为svkey：

·     首选密钥交换算法为dh-group14-sha1；

·     服务器到客户端的首选加密算法为aes128-cbc；

·     客户端到服务器的首选HMAC算法为sha1；

·     服务器到客户端的HMAC算法为sha1-96；

·     服务器与客户端之间的首选压缩算法为zlib。

<Sysname> scp 200.1.1.1 get abc.txt prefer-kex dh-group14-sha1 prefer-stoc-cipher aes128-cbc prefer-ctos-hmac sha1 prefer-stoc-hmac sha1-96 prefer-compress zlib public-key svkey