华为交换机文件系统详细介绍

1、华为交换机文件系统简介

华为交换机文件系统可以管理设备的存储器以及存储在存储器上的文件（如配置文件、系统软件等）。华为交换机文件系统是指对存储器中文件、目录的管理，包括创建、删除、修改文件和目录，以及显示文件的内容等。设备支持的存储器为Flash和CFCard。

文件系统中文件的命名规则为字符串形式，不支持空格，长度范围是1～160，不区分大小写。文件名有两种表示方式：文件名、路径+文件名。

1、文件名

如果直接使用文件名，则表示当前工作路径下的文件。

2、路径+文件名

格式为drive + path + filename，使用这种命名方式可以唯一的标识指定路径下的文件。

drive是指设备中存储器，有如下命名：

cfcard：进入主用主控板CF卡存储器根目录。设备无CF卡时，则无此驱动器。

flash：进入主用主控板Flash存储器根目录。

slave#cfcard：进入备用主控板CF卡存储器根目录。设备无备用主控板或者备用主控板没有CF卡时，则无此驱动器。

slave#flash：进入备用主控板Flash存储器根目录。设备无备用主控板或者备用主控板没有Flash时，则无此驱动器。

如果设备在集群情况下，drive的命名如下：

cfcard：主用主控板CF卡存储器根目录。

flash：主用主控板Flash存储器根目录。

框号/槽位号#cfcard：集群系统中CF卡存储器根目录所在的框号及槽位号。

框号/槽位号#flash：集群系统中Flash存储器根目录所在的框号及槽位号。

例如：1/14#cfcard:是指框号1，槽位号14的CF卡。

path是指存储器中目录以及子目录，即路径。目录名使用的字符不可以是空格、“~” 、“*” 、“/”、 “\”、 “:” 、“'” 、“"”等字符，不区分大小写。

华为设备支持的路径可以是绝对路径也可以是相对路径。

指定根目录（指定drive）的路径是绝对路径，相对路径有相对于根目录（即当前的存储器目录）的路径和相对于当前工作路径的路径，路径以“/”开头，则表示相对于根目录的路径。

若路径为“cfcard:/my/test/”，这是绝对路径。若路径为“/selftest/”，表示根目录下的selftest目录，这是相对于根目录的相对路径。若路径为“selftest/”，表示当前工作路径下的selftest目录，这是相对于当前工作路径的相对路径。

例如：dir cfcard:/my/test/mytest.txt，查看cfcard:/my/test/路径下的mytest.txt文件的信息，这是一种绝对路径。如果用相对于根目录的路径，则可以使用命令：dir /my/test/mytest.txt。如果用相对于当前工作路径的路径（若当前工作路径是cfcard:/my/），则使用命令dir test/mytest.txt。

在华为设备中文件名在文件操作命令格式中统一用filename表示。目录在文件操作命令中统一用directory表示，目录的格式即为drive + path。

2、华为交换机支持的文件管理方式

用户可以通过直接登录系统、FTP、TFTP、SFTP、SCP和FTPS方式进行文件操作，实现对文件的管理。华为设备在进行文件管理的过程中，可以分别充当服务器和客户端的角色：

设备作为服务器：可以从终端访问设备，实现对本设备文件的管理，以及与终端间的文件传输操作。设备作为客户端访问其他设备（服务器）：可以实现管理其他设备上的文件，以及与其他设备间进行文件传输操作。

对于TFTP方式，设备只支持客户端功能；对于FTP、SFTP、SCP以及FTPS方式，设备均支持服务器与客户端功能。为了保证更好的安全性，建议不要使用RSA认证方式。

1、各种文件管理方式对比

1.1、直接登录系统

通过Console口、Telnet或STelnet方式登录设备，对存储器、目录和文件进行管理。特别是对存储器的操作需要通过此种方式。

优点是对存储器、目录和文件的管理直接通过登录设备完成，方便快捷。在通过Console本地登录时，可通过xmodem get命令从终端向设备传输文件。

缺点是Telnet或STelnet方式登录，只能对本设备进行文件操作，无法进行文件传输。

1.2、FTP（File Transfer Protocol）

适用于对网络安全性要求不是很高的文件传输场景中，广泛用于版本升级等业务中。

优点是配置较简单，支持文件传输以及文件目录的操作。FTP可以在两个不同文件系统主机之间传输文件。具有授权和认证功能。

缺点是明文传输数据，存在安全隐患。

1.3、TFTP（Trivial File Transfer Protocol）

在网络条件良好的实验室局域网中，可以使用TFTP进行版本的在线加载和升级。适用于客户端和服务器之间，不需要复杂交互的环境。

优点是TFTP所占的内存要比FTP小。

缺点是设备只支持TFTP客户端功能。TFTP只支持文件传输，不支持交互。TFTP没有授权和认证，且是明文传输数据，存在安全隐患，易于网络病毒传输以及被黑客攻击。

1.4、SFTP（Secure File Transfer Protocol）

适用于网络安全性要求高的场景，目前被广泛用于日志下载、配置文件备份等业务中。

优点是数据进行了严格加密和完整性保护，安全性高。支持文件传输及文件目录的操作。在设备上可以同时配置SFTP功能和普通FTP功能。（这一点与FTPS方式相比：FTPS是不可以同时提供FTPS和普通FTP功能的。）

缺点是配置较复杂。

1.5、SCP（Secure Copy Protocol）

适用于网络安全性要求高，且文件上传下载效率高的场景。

优点是数据进行了严格加密和完整性保护，安全性高。客户端与服务器连接的同时完成文件的上传下载操作（即连接和拷贝操作使用一条命令完成），效率较高。

缺点是配置较复杂（与SFTP方式的配置非常类似），且不支持交互。

1.6、FTPS（FTP over SSL（Secure Sockets Layer）

适用于网络安全性要求高，且不提供普通FTP功能的场景。

优点是利用数据加密、身份验证和消息完整性验证机制，为基于TCP可靠连接的应用层协议提供安全性保证。

缺点是配置较复杂，需要预先从CA处获得一套证书。若配置FTPS服务，则普通的FTP服务功能必须关闭。

直接登录系统、FTP、TFTP方式，理解和配置都比较简单，下面主要介绍下另外几种文件管理方式。

2、SFTP方式

SFTP是SSH协议的一部分，利用SSH协议提供的安全通道，使得远程用户可以安全地登录设备进行文件管理和文件传输等操作，为数据传输提供了更高的安全保障。同时，设备支持客户端的功能，用户可以从本地设备安全登录到远程SSH服务器上，进行文件的安全传输。

SSH提供的安全性主要有：

密文传输：在SSH连接建立初期，双方会通过协商的方式得出双方通信的加密算法和会话密钥，此后双方的通信就是以密文的方式进行，这样非法用户就很难窃取到合法用户的帐户信息。

支持基于公钥的认证：设备支持RSA和DSA两种公钥认证方式。

支持对服务器的认证：SSH协议可以通过验证服务器端公钥的方式来对服务器的身份进行认证，从而可以避免“伪服务器”方式的攻击。

支持对交互数据的校验：SSH协议支持对数据的完整性和真实性的校验，使用的校验方法是CRC(SSH1.5版本)和基于MD5的MAC算法(SSH2.0版本)。这样可以有效地防止类似于“中间人”的攻击。

SSH连接的建立过程：

协商SSH版本号：客户端与服务器通过发送的标识版本的字符串选择相互通讯所用的SSH协议版本。

算法协商：服务器和客户端进行密钥交换算法、加密算法、MAC算法协商的一个交互过程，用于后续的通讯过程。

密钥交换：根据前面算法协商过程中确定的密钥交换算法，服务器和客户端通过计算获得相同的会话密钥和会话ID。

验证用户身份：客户端向服务器发送用户身份信息。客户端将采用在服务器端配置的用户验证方式向服务器提出验证请求，直到验证通过或连接超时断开。

华为设备作为服务器时提供公钥认证和密码认证。

在公钥（RSA和DSA两种）认证方式下，客户端必须生成RSA和DSA两种密钥对（包含公钥和私钥），并将公钥发送给服务器端。用户发起认证请求时，客户端随机生成一段由私钥加密的密文并发送给服务器，服务器利用客户端的公钥对其进行解密，解密成功就认为用户是可信的，对用户授予相应的访问权限。否则，中断连接。

密码认证依靠AAA实现，与Telent和FTP类似，支持本地数据库和远程RADIUS服务器验证，服务器对来自客户端的用户名与密码和预先配置的用户名与密码进行比较，如果完全匹配则验证通过。

请求会话：认证完成后，客户端向服务器提交会话请求。服务器则进行等待，处理客户端的请求。

交互会话：会话申请成功后，连接进入交互会话模式。在这个模式下，数据在两个方向上双向传送。

在进行SSH连接建立前，需要在服务器端生成本地密钥对（RSA密钥对和DSA密钥对），这个密钥对不仅用于生成会话密钥和会话ID，还用于客户端验证服务器身份，同时这也是配置SSH服务器的关键步骤。

3、SCP方式

SCP也是SSH协议的一部分，是基于SSH协议的远程文件拷贝技术，实现文件的拷贝，包括上传和下载。SCP文件拷贝命令简单易用，提高了网络维护的效率。

4、FTPS方式

FTPS将FTP和SSL（Secure Sockets Layer，安全套接层）结合，又称安全FTP。通过SSL对客户端身份和服务器进行验证，对传输的数据进行加密，SSL为普通FTP服务器提供了安全连接，从而很大程度上改善了普通FTP服务器安全性问题，实现了对设备上文件的安全管理。

配置此方式必须要了解的几个概念：

1、CA（Certificate Authority）

CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性，并签发数字证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。国际上被广泛信任的CA，被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明，而证明信息在信任证书机构文件中描述。

例如：CA1作为最上级CA也叫根证书，签发下一级CA2证书，CA2又可以给它的下一级CA3签发证书，以此下去，最终由CAn签发服务器的证书。

如果服务器端的证书由CA3签发，则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性，如果通过则再由CA2证书验证CA3证书的有效性，最后由最上级CA1证书验证CA2证书的有效性。只有通过最上级CA证书即根证书的验证，服务器证书才会验证成功。

证书签发过程与证书验证过程如上图1所示。

2、数字证书

数字证书实际上是存于计算机上的一个记录，是由CA签发的一个声明，证明证书主体（证书申请者拥有了证书后即成为证书主体）与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。数字证书的作用使网上通信双方的身份得到了互相验证，提高了通信的可靠性。

用户必须事先获取信息发送者的公钥证书，以便对信息进行解码认证，同时还需要CA发送给发送者的证书，以便用户验证发送者的身份。

3、证书撤销列表CRL（Certificate Revocation List）

CRL由CA发布，它指定了一套证书发布者认为无效的证书。

数字证书的寿命是有限的，但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书，意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后，CRL中的有关数据被删除，以缩短CRL列表的大小。

设备分别作为服务器和客户端的实现方式：

1、从用户终端访问作为FTP服务器的设备

在作为FTP服务器的设备上部署SSL策略，加载数字证书并使能安全FTP服务器功能后，用户在终端通过支持SSL的FTP客户端软件访问安全FTP服务器，在终端与服务器之间实现文件的安全管理操作。

2、设备作为客户端访问FTP服务器

在作为FTP客户端的设备上部署SSL策略并加载信任证书机构文件，检查证书持有者身份的合法性，以防证书被伪造或篡改。