通过SFTP备份网络设备配置

一、环境准备

**（下载并安装好以下工具软件，注：以下版本的工具在win10-64位专业版下正常测试通过）

1、安装ENSP

（1）安装winpcap4.13
（2）安装wireshark_64位3.2.2
（3）安装virtualbox5.2.16
（4）安装ENSP1.3.100

2、打开ENSP，拖出拓扑图如下：

（1）从ENSP中拖出2台AR路由器，型号分别为AR3260作为主设备（需要备份配置的网络设备），1台AR201作为客户端（通常工业环境是PC机上用secureCRT工具作为客户端）
（2）习惯性的把需要部署的IP地址与子网掩码标识在拓扑之中（绿色框中的为主要命令）
（3）连线并将各接口显示出来（方便后面配置）
（4）启动各设备

二、开始配置

1、双击AR201进入配置模式

上图中主要输入的3条指令如下：
undo terminal monitor #本人一般习惯性禁止类的输出，一般多设备启动时会显示很多类的输出，看着有点烦
system-view #进入系统视图，注意指令输入时，像linux一样，可只输入每个命令的前几个字母用TAB键补全
sysname client #给本AR201设备命名为client
interface Ethernet0/0/0 #进入接口视图
undo portswitch #将二层接口改为三层模式，二层接口不能直接给它配置IP地址，大家都知道IP是网络层的
ip address 10.1.1.1 255.255.255.0 #给三层接口配置IP地址和子网掩码

2、配置AR3260服务端的SFTP与用户名、密码

system-view
interface GigabitEthernet0/0/0 #进入接口视图，配置G0/0/0
ip address 10.1.1.254 255.255.255.0 #配置接口的IP地址，用于局域网内访问本路由器
quit #返回到上一级
user-interface vty 0 4 #进入用户视图
authentication-mode aaa #指定登录本路由器的认证模式为AAA，即需要用户名和密码都认证正确方可登录
protocol inbound ssh #配置登录本路由器时使用SSH协议，该协议为加密传输，不像上一个实验的明文传输被抓包后能分析出用户名和密码，所以本实验我们提高了传输过程中的安全性
quit #返回上一级
aaa #配置AAA认证
local-user huawei password cipher huawei #创建用户huawei并配置一个密码为huawei
local-user huawei privilege level 15 #指定用户的权限等级为15，可为3-15之间的管理员级，数值越大，用户权限越高
local-user huawei ftp-directory flash:/ #配置用户huawei的访问根目录为设备的根目录
local-user huawei service-type ssh #配置用户huawei的认证类型为ssh
quit #返回上一级
sftp server enable #开始SFTP服务，该服务较FTP服务更为安全，即加密传输
stelnet server enable #开启加密远程登录服务stelnet
ssh user huawei authentication-type password-rsa/password/rsa #为用户配置认证加密时为rsa非对称加密，大家都知道对称加密安全性比非对称加密低
配置完成后，使用命令检查配置是否正确，如下：

三、回到客户端AR201上验证

1、配置与服务端的RSA非对称加密生成密钥对，

使用指令如下：
ssh client 10.1.1.254 assign rsa-key 10.1.1.254 #通过客户端连接服务器的IP，生成RSA密钥对
ssh client first-time enable #客户端第一次登录到服务端时，使用该命令

2、在系统视图下配置命令如下：

上面的提示应该不用我多解释吧，提示username与password时输入用户名和密码，是否进行认证访问，是否更新密钥

3、查看根目录下的文件，找出刚登录到AR3260上的配置文件，再备份到本路由器AR201上

四、工业环境中的实战

1、打开运行框，输入CMD

2、通过以下指令备份网络设备保存的配置文件到PC上

3、在PC机上找到刚才保存的网络设备的配置文件