1.1  FTP简介

FTP(File Transfer Protocol，文件传输协议)用于在FTP服务器和FTP客户端之间传输文件，是IP网络上传输文件的通用协议。

FTP协议使用TCP端口20和21进行传输。端口20用于传输数据，端口21用于传输控制消息。

设备既可以作为FTP服务器，也可以作为FTP客户端。

FTP有两种文件传输模式：

·二进制模式，用于传输非文本文件(比如后缀名为.app、.bin和.btm的文件)；

·ASCII码模式，用于传输文本格式的文件(比如后缀名为.txt、.bat和.cfg的文件)。

当设备作为FTP客户端时，用户可通过命令行指定使用的传输模式，缺省为二进制模式；当设备作为FTP服务器时，使用的传输模式由FTP客户端决定。

FTP有两种工作方式：

·主动方式(PORT)：建立数据连接时由FTP服务器发起连接请求，当FTP客户端处于防火墙后时不适用(如FTP客户端处于私网内)。

·被动方式(PASV)：建立数据连接时由FTP客户端发起连接请求，当FTP服务器限制客户端连接其高位端口(一般情况下大于1024)时不适用。

是否使用被动方式由FTP客户端程序决定，不同FTP客户端软件对FTP工作方式的支持情况可能不同，请在使用时以软件的实际情况为准。

1.2  配置FTP服务器

FTP服务器配置任务如下：

1.2.2  启动FTP服务器功能

(1)进入系统视图。

system-view

(2)启动FTP服务器功能。

ftp server enable

缺省情况下，FTP服务器功能处于关闭状态。

1.2.3  配置FTP服务器的认证和授权

只有认证通过并授权成功的用户，才能通过FTP访问设备上的指定路径。

设备对FTP客户端的认证，有以下两种方式：

·本地认证：设备作为认证服务器，在本设备上验证FTP客户端的用户名和密码是否合法。

·远程认证：远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器，由认证服务器来验证用户名/密码是否匹配。

设备对FTP客户端的授权，有以下两种方式：

·本地授权：设备给FTP客户端授权，指定FTP客户端可以使用设备上的某个路径。

·远程授权：远程服务器给FTP客户端授权，指定FTP客户端可以使用设备上的某个路径。

关于认证和授权的详细配置请参见“安全配置指导”中的“AAA”。

1. 功能简介

通过将FTP服务与ACL关联，可以过滤掉来自某些FTP客户端的FTP请求报文，只允许符合ACL过滤规则的FTP客户端访问设备。

2. 配置限制和指导

配置ACL限制FTP客户端时：

·当未引用ACL时，允许所有FTP客户端访问设备；

·当引用的ACL不存在或者为空时，禁止所有FTP客户端访问设备；

·当引用的ACL非空时，则只有ACL中permit的用户才能访问设备，禁止其他用户访问设备，以避免非法用户访问设备；

·如果多次使用该命令配置FTP服务与ACL关联，最新配置生效。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

该配置只过滤新建立的FTP连接，不会对已建立的FTP连接和操作造成影响。

3. 配置步骤

(1)进入系统视图。

system-view

(2)(可选)设置FTP客户端对FTP服务器的访问限制。

(IPv4网络)

ftp server acl {advanced-acl-number|basic-acl-number|mac mac-acl-number}

(IPv6网络)

ftp server acl ipv6 {advanced-acl-number|basic-acl-number|macmac-acl-number}

缺省情况下，FTP客户端对FTP服务器的访问不受限制。

(3)(可选)开启匹配ACL deny规则后打印日志信息功能。

ftp server acl-deny-log enable

缺省情况下，匹配ACL deny规则后打印日志信息功能处于关闭状态.

1.2.5  配置FTP服务器连接管理参数

(1)进入系统视图。

system-view

(2)配置FTP服务器的连接空闲时间。

ftp timeout minutes

缺省情况下，连接空闲时间为30分钟。

如果在设置的连接空闲时间到期时，FTP服务器和客户端一直没有信息交互，则断开它们之间的连接。

(3)配置使用FTP方式同时登录设备的在线的最大用户连接数。

aaa session-limit ftp max-sessions

缺省情况下，最大用户连接数为32。

配置本命令后，已经在线的用户连接不会受到影响，只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值，则新的连接请求会被拒绝，登录会失败。

关于该命令的详细描述请参见“安全 命令参考”中的“AAA”。

1.2.6  配置FTP服务器引用SSL

1. 功能简介

当支持FTP安全扩展协议的两台设备建立FTP连接时，通过将FTP服务与SSL服务器端策略关联，可以建立一条安全的SSL连接来传输数据，保证FTP传输的安全性。

2. 配置步骤

(1)进入系统视图。

system-view

(2)配置FTP服务器引用SSL。

ftp server ssl-server-policy policy-name

缺省情况下，FTP服务器未引用SSL服务器端策略。

1.2.7  配置FTP服务器发送报文的DSCP优先级

(1)进入系统视图。

system-view

(2)配置FTP服务器发送的FTP报文的DSCP优先级。

(IPv4网络)

ftp server dscpdscp-value

(IPv6网络)

ftp server ipv6 dscpdscp-value

缺省情况下，FTP服务器发送的FTP报文的DSCP优先级为0。

1.2.8  释放已建立的FTP连接

请在用户视图下执行本命令，释放已建立的FTP连接。请选择其中一项进行配置。

·强制释放与指定用户之间的FTP连接。

free ftp user username

·强制释放与指定IP地址的主机之间的FTP连接。

free ftp user-ip [ ipv6 ] ip-address [ port port ]

1.2.9  FTP服务器显示和维护

完成上述配置后，在任意视图下执行display命令可以显示FTP服务器的配置和运行情况，通过查看显示信息验证配置的效果。

表1-1 FTP服务器显示和维护

操作

命令

查看当前FTP服务器的配置和运行情况

display ftp-server

查看当前FTP登录用户的详细情况

display ftp-user

1.3  配置FTP客户端

FTP客户端配置任务如下：

(2)(可选)

(6)(可选)

(8)(可选)

1.3.2  建立FTP连接

1. 建立FTP连接配置任务简介

建立FTP连接配置任务如下：

2. 配置限制和指导

·使用ftp client source命令指定了源地址后，又在ftp命令中指定了源地址，则采用ftp命令中指定的源地址进行通信。

·使用ftp client ipv6 source命令指定了源地址后，又在ftp ipv6命令中指定了源地址，则采用ftp ipv6命令中指定的源地址进行通信。

3. 配置FTP客户端发送的FTP报文的源地址

(1)进入系统视图。

system-view

(2)配置FTP客户端发送的FTP报文的源地址。

(IPv4网络)

ftp client source { interface interface-type interface-number | ip source-ip-address }

缺省情况下，未配置源地址，使用路由出接口的主IP地址作为设备发送FTP报文的源IP地址。

(IPv6网络)

ftp client ipv6 source { interface interface-type interface-number | ipv6 source-ipv6-address }

缺省情况下，未配置源地址，设备自动选择IPv6 FTP报文的源IPv6地址，具体选择原则请参见RFC 3484。

·从用户视图登录FTP服务器。

(IPv4网络)

ftp[ftp-server[service-port] [ vpn-instancevpn-instance-name] [dscp dscp-value|source{ interfaceinterface-type interface-number|ip source-ip-address} ] ] *

(IPv6网络)

ftp ipv6 [ ftp-server[service-port] [ vpn-instance vpn-instance-name] [ dscp dscp-value|source { ipv6 source-ipv6-address| interfaceinterface-type interface-number} ] * [ -iinterface-type interface-number] ]

·从FTP客户端视图登录FTP服务器。

a.请在用户视图下执行本命令，进入FTP客户端视图。

ftp[ipv6]

b.登录FTP服务器。

open server-address [ service-port ]

5. 配置FTP文件传输方式

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)设置FTP文件传输的模式。

¡配置FTP文件传输的模式为ASCII模式。

ascii

¡配置FTP文件传输的模式为二进制模式。

binary

缺省情况下，文件传输模式为二进制模式。

(3)切换数据的传输方式。

passive

缺省情况下，数据传输的方式为被动方式。

1.3.3  显示帮助信息

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)显示命令或命令的帮助信息。

¡方式一

help [ command-name ]

¡方式二

? [ command-name ]

1.3.4  查看FTP服务器上的目录/文件

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)查看FTP服务器上的目录/文件。

¡方式一

dir [ remotefile [ localfile ] ]

¡方式二

ls [ remotefile [ localfile ] ]

1.3.5  操作FTP服务器上的目录

1. 配置准备

使用dir或者ls命令查看FTP服务器上的目录/文件的详细信息。

2. 配置步骤

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)操作FTP服务器上的目录

¡显示当前用户正在访问的FTP服务器上的路径。

pwd

¡切换FTP服务器上的工作路径。

cd { directory | .. | / }

¡退出FTP服务器的当前目录，返回FTP服务器的上一级目录。

cdup

¡在FTP服务器上创建目录。

mkdir directory

¡删除FTP服务器上指定的目录。

rmdir directory

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)显示或切换FTP客户端本地的工作路径。

lcd[ directory |/]

上传的文件为该路径下的文件时，缺省情况下文件下载后也将保存到该路径。

1.3.7  操作FTP服务器上的文件

1. 配置准备

使用dir或者ls命令了解FTP服务器上的目录结构以及文件所处的位置。

2. 配置步骤

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)操作FTP服务器上的文件

¡删除FTP服务器上的文件。

delete remotefile

用户必须具有删除的权限才能执行该操作。

¡重命名文件。

rename [ oldfilename [ newfilename ] ]

¡上传本地文件到FTP服务器。

put localfile [ remotefile ]

¡下载FTP服务器上的文件。

get remotefile [ localfile ]

¡在原文件的内容后面添加新文件的内容。

append localfile [ remotefile ]

¡指定重传点。

restart marker

配合put、get、append等命令使用。

¡更新本地文件。

newer remotefile

¡从本地文件的尾部开始获取文件的剩余内容。

reget remotefile [ localfile ]

1.3.8  更改登录用户

1. 功能简介

当设备作为FTP客户端，登录FTP服务器失败，在FTP连接超时前，使用该命令重新登录当前访问的FTP服务器。

2. 配置限制和指导

如果在用户切换时，输入的用户名/密码错误，则会断开当前连接，用户必须重新登录才能继续访问FTP服务器。

3. 配置步骤

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)在现有FTP连接上重新发起FTP认证。

user username [ password ]

1.3.9  FTP连接的维护与调试

1. 功能简介

当设备作为FTP客户端，与FTP服务器连接建立成功后，通过以下命令，可以帮助用户定位和诊断FTP连接出现的问题。

2. 配置步骤

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)维护与调试FTP连接

¡显示FTP服务器支持的FTP相关协议命令字。

rhelp

¡显示FTP服务器支持的FTP相关协议命令字的帮助信息。

rhelp protocol-command

¡显示FTP服务器的状态。

rstatus

¡显示FTP服务器上指定目录或文件的详细信息。

rstatus remotefile

¡显示当前FTP连接的状态。

status

¡显示FTP服务器的系统信息。

system

¡切换FTP功能的协议信息开关。

verbose

缺省情况下，FTP协议信息开关处于开启状态。

¡打开FTP调试信息开关。

debug

缺省情况下，FTP客户端调试信息开关处于关闭状态。

¡清除缓存的命令应答。

reset

1.3.10  断开FTP连接

(1)请在用户视图下执行本命令，进入FTP客户端视图。

ftp

(2)断开与FTP服务器的连接。请选择其中一项进行配置。

¡断开与FTP服务器的连接，并留在FTP客户端视图。请选择其中一项进行配置。

disconnect

close

¡断开与FTP服务器的连接，并退回到用户视图。请选择其中一项进行配置。

bye

quit

1.3.11  FTP客户端显示和维护

在完成上述配置后，可在任意视图下执行display命令，通过查看显示信息验证配置的效果。

表1-2 FTP客户端显示和维护

操作

命令

显示设备作为FTP客户端时的源地址配置

display ftp client source