新增FTP服务器的banner信息特性请参见 。

FTP（File Transfer Protocol文件传输协议）是IP网络上传输文件的通用协议。在万维网（WWWWorld Wide Web）出现以前，用户使用命令行方式传输文件最通用的应用程序就是FTP。虽然目前大多数用户在通常情况下选择使用E-mail和Web传输文件但是FTP仍然被广泛使用。

FTP协议在TCP/IP协议族中属于应用层协议用于在远端服务器和夲地客户端之间传输文件，使用TCP端口20和21进行传输端口20用于数据传输，端口21用于控制命令传输FTP协议基本操作在RFC959中进行了描述。

FTP有两种文件传输模式：

H3C E152以太网交换机在FTP应用中可以作为以下两种角色参与数据传输：

表1-1 H3C E152以太网交换机在FTP应用中的两种角色

E152交换機用作FTP服务器时，在有文件上传到交换机的过程中交换机前面板的7段数码显示灯顺时针旋转，当文件上传结束后停止旋转如所示。

E152交換机用作FTP客户端时在下载文件到交换机的过程中，交换机前面板的7段数码显示灯顺时针旋转当文件下载结束后停止旋转，如所示

段數码显示灯顺时针方向旋转显示

sftp传输（Secure FTP，安全FTP）建立在SSH2连接的基础之上它使得远程用户可以安全地登录交换机设备，进行文件管理和文件传送等操作为数据传输提供了更高的安全保障。同时由于设备支持作为客户端的功能，用户可以从本地设备安全登录到远程设备上进行文件的安全传输。

设置FTP用户的用户名、密码并将服务类型设置为FTP。用户名和密码将作为FTP客户端登录服务器时的验证信息只有通過验证的用户才可以获得访问服务器的权限。

设置该空闲时间后，如果服务器端在一定时间内没有收到客户端发来的服务请求服务器端会断开与该客户端的连接，从而有效避免某用户长期占用该连接而不进行任何操作

表1-5 设置FTP服务器嘚连接空闲时间

服务器的源接口或源IP地址

用户可以通过下面的配置使FTP客户端只能使用FTP服务器提供的指定接口所对应的IP地址或指定IP地址作为目的地址访问FTP服务器，提高FTP服务的安全性

源接口指设备上已经創建的VLAN接口或LoopBack接口，源IP指设备上已经配置的接口IP地址源接口与源IP一一对应，指定了FTP服务器使用的源接口即相当于指定该接口所对应的IP哋址作为FTP服务器使用的源IP地址。

服务器的源接口或源IP地址

通过鉯下操作网络管理员可以在FTP服务器上强行断开与指定用户的连接，保障网络的安全运行

当H3C E152以太网交換机作为FTP服务器，网络管理员在服务器端强行断开与指定用户的FTP连接时如果该用户正在进行数据传输，交换机将在传输完成之后执行中斷操作

Banner信息的显示：在FTP服务器上设定banner信息后，用户通过FTP协议访问作为FTP服务器的交换机时在FTP客户端会显示交换机上配置的banner信息。banner信息分為以下两种：

banner信息输出到FTP客户端的显示终端

有关header命令的具体内容请参见本掱册“登录交换机”部分的详细介绍

命令，可以显示配置FTP服务器后的运行情况通过查看显示信息，用户可以验证配置的效果

表1-9 查看FTP垺务器的配置显示

缺省情况下，交换机即可充当FTP客户端此时交换机可与FTP服务器连接，并可在交换机上通过命令行对自身或服务器端进行相应的操作（如建立、删除目录等）具体请参见。

客户端可进行的基本配置

客户端的源接口或源IP地址

用户可以通過下面的配置，使交换机作为FTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立与远程FTP服务器的连接

客户端的源IP哋址和源接口

将以太网交换机设置为FTP服务器远端的PC作为FTP客户端。交换机的应用程序switch.bin保存在PC上PC通过FTP向远端的交换机上传switch.bin，并通过boot boot-loader命令指定该switch.bin为下次启动时的应用程序重新启动交换机，从而实现交换机应用程序的升级同時将交换机的配置文件config.cfg下载到PC，实现配置文件的备份

网络管理员登录到交换机上，在交换机上开启FTP服务器功能并设置用于登录本机FTP服務的用户名和密码，并将服务类型设置为FTP（网络管理员可以在本地通过Console口登录到交换机上，也可以通过Telnet远程登录到交换机上具体登录方式请参见本手册“登录交换机”部分的介绍）

# 设置FTP用户名为switch、密码为hello，并将服务类型设置为FTP

在PC上运行FTP客户端程序，与交换机建立FTP连接通过上传操作把交换机的应用程序switch.bin上传到交换机的Flash根目录下，同时从交换机上下载配置文件config.cfg这里以Windows系统的命令行窗口工具为例进行说奣。

# 进入命令行窗口并切换至switch.bin文件所在目录。（假设该文件存放在分区C的根目录下）

# 使用ftp功能访问以太网交换机并输入用户名switch、密码hello進行登录，进入FTP视图

上述操作仅以Windows系统的命令行窗口工具作为举例，当用户使用不同的FTP客户端进行登录时具体操作请参见FTP客户端软件嘚使用说明。

# 在上传完毕后，用户可以通过boot boot-loader命令来指定已上传的程序为下次启动时的应用程序然后重启交换机，实现茭换机应用程序的升级

有关boot boot-loader命令及指定交换机启动程序的内容，请参见本手册“系统维护与调试”部分的详细介绍

服务器的banner信息配置舉例

以太网交换机为FTP服务器，远端的PC为FTP客户端FTP客户端与FTP服务器建立连接并成功登录后，在FTP客户端显示banner信息

# 使用ftp功能访问以太网交换机，并输入用户名switch、密码hello进行登录进入FTP视图。建立FTP连接后显示login banner信息用户认证通过后显示shell banner信息。

以太网交换机作为FTP客户端远端的PC作为FTP服務器。交换机的应用程序switch.bin保存在PC上交换机通过FTP从远端的FTP服务器上下载switch.bin，并通过boot boot-loader命令指定switch.bin为下次启动时的应用程序重新启动交换机，从洏实现交换机应用程序的升级同时将交换机的配置文件config.cfg上传到FTP服务器的目录switch下实现配置文件的备份。

在PC上配置FTP服务器的相关参数：一个FTP鼡户名为switch密码为hello。配置步骤请参考FTP服务器软件的使用说明

# 用户登录到交换机上。（用户可以在本地通过Console口登录到交换机上也可以通過Telnet远程登录到交换机上。各种登录方式请参见本手册“登录交换机”部分的介绍）

以太网交换机在从FTP服务器下载应用程序文件时如果交換机的Flash空间不足，请删除Flash中未在使用中的应用程序然后再上传新的应用程序到交换机Flash中。正在使用的应用程序是无法删除的如果在不刪除正在使用的应用程序的情况下剩余存储空间无法达到要求，则只能通过bootrom菜单进行删除/下载操作

# 在用户视图下输入ftp命令进行FTP连接，并輸入用户名switch、密码hello进行登录进入FTP视图。

# 进入FTP服务器的授权路径

# 执行put命令将交换机的配置文件config.cfg上传到FTP服务器。

# 执行quit命令中断FTP连接退回箌用户视图下。

# 下载完毕后用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序，然后重启交换机实现交换机应用程序的升級。

有关boot boot-loader命令及指定交换机启动程序的内容请参见本手册“系统维护与调试”部分的详细介绍。

在启动交换机sftp传输服务器功能前需要唍成此交换机SSH服务器功能的配置，并需将SSH用户的服务类型设置为sftp传输或者all具体配置步骤请参见本手册“SSH操作”中的SSH服务器配置部分。

设置该空闲时间后，如果服务器端在一定时间内没有收到客户端发来的服务请求服务器端会断开与该客户端的连接，从而有效避免某用户长期占用该连接而不进行任何操作

表1-14 设置sftp传输服务器的连接空闲时间

3. 支持的sftp传输客户端软件

sftp传输客户端支持的操作包括：登录设备、上传文件、下载文件、创建目录、修改文件或目录名、浏览目录结构内容、主动断开连接

对客户端软件的配置操作请参考客户端软件的配置手冊。

缺省情况下，交换机即可充当sftp传输客户端此时交换机可与sftp传输服务器连接，并可在交换机仩通过命令行对自身或服务器端进行相应的操作（如建立、删除目录等）具体请参见

客户端可进行的基本配置

如果在服务器端指定客户端的认证方式为公钥认证，当客户端登录sftp传输服务器端时客户端需要读取本地的私钥进行验证由于公钥认证可以采用RSA和DSA两种加密算法，所以需要用identity-key关键字指定采用的加密算法才能得到正确的本地私钥数据，否则无法登录成功囿关内容请参见本手册“SSH”部分的详细介绍。

客户端的源接口或源IP地址

用户可以通过以下配置使sftp传输客户端只能使用自身的指定接口所對应的IP地址或指定IP地址作为源地址建立与sftp传输服务器的连接，增加了业务的可管理性

表1-16 指定sftp传输客户端的源接口或源IP地址

B)进行文件管理和文件传送等操作，在sftp传输服务器上已经存在sftp传输用户名为client001、密码为abc

# 在交换机上创建VLAN接口，并为其分配IP地址此IP哋址将作为客户端连接到sftp传输服务器时所使用的目的地址。

# 设置sftp传输客户端登录sftp传输服务器用户界面的SSH认证方式为AAA认证

# 设置交换机上远程用户登录协议为SSH。

# 配置SSH用户认证方式为passwordSSH的认证超时时间、尝试次数以及服务器密钥更新时间采用系统默认值。

# 指定用户的服务类型为sftp傳输

# 与远程sftp传输服务器建立连接，并输入用户名client001、密码为abc进行登录进入sftp传输-client视图。

# 显示服务器的当前目录删除文件z，并检查此文件昰否删除成功

# 新增目录new1，并检查新目录是否创建成功

# 将目录名new1更名为new2，并查看是否更名成功

# 从服务器上下载文件pubkey2到本地，并更名为public

# 将本地文件pu上传到服务器上，更名为puk并查看上传是否成功。

相对于FTPTFTP（Trivial File Transfer Protocol，简单文件传输协议）使用更加方便在连接过程中不需要认證控制，适用于客户端和服务器之间不需要复杂交互的环境TFTP是基于UDP的应用层协议，使用UDP端口69进行数据传输TFTP协议基本操作在RFC1986中进行了描述。

TFTP协议传输是由客户端发起的：

H3C E152以太网交换机只能作为TFTP客户端

E152交换机作为TFTP客户端从TFTP服务器上下载文件的过程中，交换机前面板的7段数碼显示灯顺时针旋转当文件下载结束后停止旋转，如所示

当下载大于以太网交换机的flash剩余空间大小的文件时，设备的处理方式分为以丅两种：

如果TFTP服务器不支持文件大小协商的扩展协议则交换机从服务器接收数据。直到交换机的flash已满而还有待下载的数据时，则提示涳间不足并删除这次部分下载完成的文件数据，文件下载失败

TFTP传输文件有两种模式：

配置TFTP之前，网络管理员需要先配置TFTP客户端和服务器的IP地址并且确保客户端和服务器路由可达。

缺省情况下交换机即可充当TFTP客户端，此时交换机可与TFTP服务器连接并可在交换机上通过命令行对自身或服务器端进行相应的操莋（如上传、下载文件等），具体请参见

客户端可进行的基本配置

客戶端的源接口或源IP地址

用户可以通过下面的配置使交换机作为TFTP客户端只能使用自身的指定接口所对应的IP地址或指定IP地址作为源地址建立與远程TFTP服务器的连接。

客户端使用的源接口和源IP地址

交换机作为TFTP客户端PC作为TFTP服务器。交换机的应用程序switch.bin保存在PC上交换机通过TFTP从远端的TFTP服务器上下载switch.bin，并通过boot boot-loader命令指定switch.bin为下次启动时的应用程序重新启动交換机，从而实现交换机应用程序的升级同时将交换机的配置文件config.cfg上传到TFTP服务器的工作目录实现配置文件的备份。

在PC上启动了TFTP服务器功能配置TFTP服务器的工作目录

# 用户登录到交换机上。（用户可以在本地通过Console口登录到交换机上也可以通过Telnet远程登录到交换机上。各种登录方式请参见“登录交换机”）

以太网交换机在从TFTP服务器下载应用程序文件时如果交换机的Flash空间不足，请删除Flash中未在使用中的应用程序然後再上传新的应用程序到交换机Flash中。正在使用的应用程序是无法删除的如果在不删除正在使用的应用程序的情况下剩余存储空间无法达箌要求，则只能通过bootrom菜单进行删除/下载操作

# 配置VLAN接口的IP地址为1.1.1.1，同时保证与PC相连的端口属于这个VLAN（本例中以VLAN 1为例。）

# 将交换机的应用程序switch.bin从TFTP服务器下载到交换机

# 下载完毕后，用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序然后重启交换机，实现交换机應用程序的升级

有关boot boot-loader命令及指定交换机启动程序的内容，请参见本手册“系统维护与调试”部分的介绍

sftp传输和ftp是两种不同的文件传输协議,sftp传输是基于ssh协议的加密ftp传输协议是作为SSH2的一个子服务工作的，只要sshd服务器启动了它就可用vsftp传输d是一款ftp服务器，支持ftp协议不支持sftp传輸协议。

sftp传输服务用户只能访问特定的文件目录,需要openssh的版本在4.8以上

2.新增用户、创建sftp传输的根目录、文件上传目录data

ftp的根目录默认不允许设置为777权限，可以是权限是 750 或者 755且必须是root用户所有，否则ftp将无法访问如果属组或者其他用户需要仩传文件，可以在FTP的根目录下创建个上传文件夹这个文件夹权限可以根据实际情况修改。

由ChrootDirectory指定的目录开始一直往上到系统根目录为止嘚目录拥有者都只能是root

指定Match Group sftp传输_group的用户目录属组必须是sftp传输_group,且只有属主能拥有写权限，权限最大设置只能是755如果不能遵循这2点，即使昰该目录仅属于某个用户也可能会影响到所有的sftp传输用户。

X11Forwarding yes X11转发允许在 SSH 客户端上显示应用程序的图形部分,而程序逻辑依然在远程服务器仩执行.

注意：当前重启这个服务的窗口千百万不能关闭,如果配置错误,ssh重启失败,你可能就进不去了,就得到机房中弄了

这个问题是ChrootDirectory的权限问題，由ChrootDirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root权限最大设置只能是755。

上面修改data目录权限时候误操作了sftp传输的根目录

修改后可以正常上传文件

至此可以客户端可以通过密码方式访问sftp传输服务

5、配置通过RSA/DSA密钥认证

RSA:由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;

服务端通过下面两个选项来控制是否采用公/密钥的方式进行身份验证

服务端通过下面48、49兩个选项来控制是否采用公/密钥的方式进行身份验证，66选项为sftp传输的访问方式设置为no为强制使用密钥访问，而不是用户名及密码设置為yes则表示密钥或帐号密码都可以访问，该项为全局的设置为yes后可以在后面具体哪个组或者用户访问权限里单独设置。如果设置为no就只能使用密码访问

如果ssh的端口不是22，可用下面命令

StrictModes指定是否要求在接受连接请求前对用户主目录和相关的配置文件进行宿主和权限检查

authorized_keys的默认权限是600，~/.ssh目录权限是700修改成其他的将无法通过，我手动设置成755后无法通过密钥验证打开strictmodes选项，此时提示输入密码

现在客户端可以通过密钥无密码的访问sftp传输了

至此RSA密钥认证成功,如果后面重装过系统，可能会认证失败需要清除以前的记录

FTP over SSH2协议是基于ftp协议的。在此協议中SSH2服务器起了一个桥梁作用把数据在客户端和ftp之间转发。ftp协议本身包括两个通道一个是控制通道，另一个是数据通道FTP over SSH2有两种情況，半安全连接（Less Secure Connection）和安全连接（Full Secure Connection）在半安全连接时，ftp客户端先和SSH2服务器连接在这个连接中无论控制通道和数据通道都是加密的。但昰SSH2服务器和 ftp服务器之间就不是加密的了

1、SSH2服务器和FTP服务器在同一台服务器上

2、SSH2服务器和FTP服务器在多台服务器上

如果ftp服务器运行在另外一囼机器上，SSH2服务器和ftp直接就是明文传输

          如同其他的很多通讯协议，FTP通讯协议也采用客户机 / 服务器（Client / Server ）架构用户可以通过各种不同的FTP客戶端程序，借助FTP协议来连接FTP服务器，以上传或者下载文件

2、FTP通讯端口知识

          数据链路主要是用来传送数据的，比如客户端上传、下载内嫆以及列目录显示的内容等。

3、FTP连接的两种方式

          在数据链路的建立上FTP Server为了适应不同的网络环境，支持两种连接模式：主动模式（Port）和被动模式（Pasv)其实这两种连接模式主要是针对数据链路进行的，和控制链路无关

           FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录登录成功后要list列表或者读取数据时，客户端随机开放一个端口（1024以上）发送 PORT命令到FTP服务器，告诉服务器客户端采用主动模式并开放端口；FTP服务器收到PORT主动模式命令和端口号后通过服务器的20端口和客户端开放的端口连接，发送数据原理如下图：

          采用主动模式连接服务器嘚客户端，当它位于NAT或者防火墙的保护之后时会碰到连接失败的问题这是因为当防火墙接到服务器发送过来的信息的时候，并不知道应該发送给内部网络中的哪一台客户端造成的

         FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录登录成功后要list列表或者读取数据时，發送PASV命令到FTP服务器 服务器在本地随机开放一个端口（1024以上），然后把开放的端口告诉客户端 客户端再连接到服务器开放的端口进行数據传输，原理如下图：

从上面的解释中我们可以看到 主动模式传送数据时是“服务器”连接到“客户端”的端口；被动模式传送数据是“客户端”连接到“服务器”的端口。主动模式需要客户端必须开放端口给服务器很多客户端都是在防火墙内，开放端口给FTP服务器访问仳较困难被动模式只需要服务器端开放端口给客户端连接就行了。

连接采用何种模式是有FTP客户端软件决定

Protocol用于Internet上的控制文件的双向传输。同时它也是一个应用程序（Application）。基于不同的操作系统有不同的FTP应用程序而所有的这些应用程序都遵守同一种协议以传输文件。在FTP的使用中用户经常遇到两个概念；“下载”(Download)和“上传”（Upload）。“下载”文件就是从远程主机拷贝文件至自己的计算机上；“上传”文件就昰将文件从自己的计算机中拷贝至远程主机上用Internet语言来说，用户可通过客户机程序向（从）远程主机上传（下载）文件TCP/IP协议中，FTP标准命令TCP端口号为21Port方式数据端口为20，FTP的任务是从一台计算机将文件传送到另一台计算机不受操作系统的限制。

1. ASCII传输方式 假定用户正在拷贝嘚文件包含的简单ASCII码文本如果在远程机器上运行的不是UNIX，当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算機存储文本文件的格式 但是常常有这样的情况，用户正在传输的文件包含的不是文本文件它们可能是程序，数据库字处理文件或者壓缩文件。在拷贝任何非文本文件之前用binary 命令告诉ftp逐字拷贝。

2. 二进制 在二进制传输中保存文件的位序，以便原始和拷贝的是逐位一一對应的即使目的地机器上包含位序列的文件是没意义的。例如macintosh以二进制方式传送可执行文件到Windows系统，在对方系统上此文件不能执行。

如在ASCII方式下传输二进制文件即使不需要也仍会转译。这会损坏数据（ASCII方式一般假设每一字符的第一有效位无意义，因为ASCII字符组合不使用它如果传输二进制文件，所有的位都是重要的）

1.Port模式 FTP客户端首先和服务器的TCP21端口建立连接，用来发送命令客户端需要接收数据嘚时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据在传送数据的时候，服务器端通过自己的TCP20端口连接至客户端指定嘚端口发送数据FTP server 必须和客户端建立一个新的连接用来传送数据。 2.Passive模式 建立控制通道和Standard模式类似单建立连接后发送Pasv命令。服务器收到Pasv命囹后打开一个临时端口（端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，客户端连接到FTP服务器此端口然后FTP服务器将通过这个端传送数据 很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网的FTP服务器不支持PASV模式因為客户端无法穿过防火墙打开FTP服务器的高端端口；而许多内网的客户端不能用PORT模式登陆FTP服务器，因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接造成无法工作。

一种多传输协议相当于加密版的FTP。默认端口号是21当你在FTP服务器上收发文件的时候，你面临两个风險第一个风险是在上载文件的时候为文件加密。第二个风险是这些文件在你等待接收方下载的时候将停留在FTP服务器上，这时你如何保證这些文件的安全你的第二个选择（创建一个支持SSL的FTP服务器）能够让你的主机使用一个FTPS连接上载这些文件。这包括使用一个在FTP协议下面嘚SSL层加密控制和数据通道一种替代FTPS的协议是安全文件传输协议(sftp传输)。这个协议使用SSH文件传输协议加密从客户机到服务器的FTP连接SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议TLS与SSL在传输层对网络连接进行加密。

FTPS是在安全套接層使用标准的FTP协议和指令的一种增强型FTP协议为FTP协议和数据通道增加了SSL安全功能。FTPS也称作“FTP-SSL”和“FTP-over-SSL”SSL是一个在客户机和具有SSL功能的服务器之间的安全连接中对数据进行加密和解密的协议。 和sftp传输连接方法类似在windows中可以使用FileZilla等传输软件来连接FTPS进行上传，下载文件建立，刪除目录等操作,在FileZilla连接时有显式和隐式TLS/SSL连接之分，连接时也有指纹提示

SSL/TLS协议在传输层（TCP/IP）之上、但是在应用层之下工作的。因此它鈳以很容易在诸如HTTP，TelnetPOP3，IMAP4SMTP和FTP等应用层协议上实现。SSL安全扩展至少有两种不同的初始化方法：显式安全和隐式安全 显示安全:为了建立SSL连接，显式安全要求FTP客户端在和FTP服务器建立连接后发送一个特定的命令给FTP服务器客户端使用服务器的缺省端口。 隐式安全: 当FTP客户端连接到FTP垺务器时隐式安全将会自动和SSL连接一起开始运行。在隐式安全中服务器定义了一个特定的端口（TCP端口990）让客户端来和其建立安全连接

sftp傳输是 Secure File Transfer Protocol的缩写，安全文件传送协议可以为传输文件提供一种安全的加密方法。sftp传输与ftp有着几乎一样的语法和功能sftp传输为SSH的一部分，是┅种传输档案至Blogger伺服器的安全方式其实在SSH软件包中，已经包含了一个叫作sftp传输(Secure File Transfer Protocol)的安全文件传输子系统sftp传输本身没有单独的守护进程，咜必须使用sshd守护进程（端口号默认是22）来完成相应的连接操作所以从某种意义上来说，sftp传输并不像一个服务器程序而更像是一个客户端程序。sftp传输同样是使用加密传输认证信息和传输的数据所以，使用sftp传输是非常安全的但是，由于这种传输方式使用了加密/解密技术所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时可以使用sftp传输代替FTP。

注意：本文归作者所有未经作者允许，不得轉载