目录
一、DHCP
1、DHCP的简介
2、DHCP的优点
3、DHCP的作用
4、DHCP的工作原理
二、DHCP服务
1、使用DHCP的好处
2、DHCP的分配方式
三、DHCP的租约过程
1、客户机请求IP地址:DHCP Discover
2、服务器响应:DHCP Offer
3、客户机选择IP地址:DHCP Request
4、服务器确定租约:DHCP ACK
5、重新登录:DHCP Request
6、更新租约
四、使用DHCP动态配置主机地址
1、DHCP服务
2、可分配的地址信息主要包括
五、DHCP场景应用实验
1、环境配置
1.1 实验环境:
1.2 网络环境:
1.3 系统环境:
2、实验步骤
六、FTP服务
1、主动模式(Active Mode)
2、被动模式(Passive Mode)
七、VSFTPD服务应用实验
1、vsftpd安装
2、vsftpd的配置
2.1 vsftpd初始化全局配置
2.2 让匿名用户拥有访问本机和各种权限
2.3 重启vsftpd服务,关闭安全防护
3、匿名访问测试
4、设置本地用户验证访问ftp
5、对本地用户访问切换目录进行限制,添加、切换目录的限制配置 :
6、修改匿名用户、本地用户登录的默认根目录
7、黑名单和白名单的使用
一、DHCP
1、DHCP的简介
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)通常被应用在大型的局域
网络环境中,主要作用是集中地管理、分配IP地址,使网络环境中的主机动态的获得IP地址、
Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。DHCP作为用应用层协议,它
依靠并且使用着传输层中udp协议。
对于DHCP中分为客户端,和服务端。客户端用的端口为68,服务端的端口为67。
2、DHCP的优点
• 降低了配置和部署设备时间
• 降低了发生配置错误的可能性
• 可以集中化管理设备的IP地址分配
• 提高IP的利用率
3、DHCP的作用
• 给内部网络,供应商自动分配IP地址
• 给用户,内部管理员作为所有计算机的中央管理手段
4、DHCP的工作原理
DHCP的交互过程总共有六个步骤组成 前四步是完成交互的主要过程。
二、DHCP服务
1、使用DHCP的好处
• 减少管理员的工作量
• 避免输入错误的可能
• 避兔IP地址冲突
• 当更改IP地址段时,不需要重新配置每个用户的IP地址
• 提高了IP地址的利用率
• 方便客户端的配置
2、DHCP的分配方式
• 自动分配:分配到一个IP地址后永久使用
• 手动分配:由DHCP服务器管理员专门指定IP地址
• 动态分配:使用完后释放该IP,供其它客户机使用
三、DHCP的租约过程
• 客户机从DHCP服务器获得IP地址的过程称为DHCP的租约过程。
• 分为四个步骤:
(1)客户端在网络中搜索服务器
(2) 服务器向客户端响应服务
(3)客户端向目标服务器发出服务请求
(4)服务器向客户端提供服务
1、客户机请求IP地址:DHCP Discover
• 当一个DHCP客户机启动时,客户机还没有IP地址,所以客户机要通过DHCP获取一个合
法的地址。
• 此时DHCP客户机以广播方式发送DHCP Discover发现信息来寻找DHCP服务器。
2、服务器响应:DHCP Offer
• DHCP服务器接收到来自客户机请求IP地址的信息时,在自己的IP地址池中查找是否有合法的IP地址提供给客户机。
• 如果有,DHCP服务器将此IP地址做上标记,加入到DHCP Offer的消息中,然后广播一则
DHCP Offer消息。
3、客户机选择IP地址:DHCP Request
• DHCP客户机从接收到的第一个DHCP Offer消息中提取IP地址,发出IP地址的DHCP服务器
将该地址保留,这样该地址就不能再分配给另一个DHCP客户机。
4、服务器确定租约:DHCP ACK
• DHCP服务器接收到DHCP Request消息后,以DHCP ACK消息的形式向客户机广播成功确
认该消息包含有IP地址的有效租约和其他可配置的信息。
• 当客户机收到DHCP ACK消息时,配置IP地址,完成TCP/IP的初始化。
5、重新登录:DHCP Request
• DHCP客户机每次重新登录网络时,不需要再发送DHCPDiscover信息,而是直接发送包含前一次所分配的IP地址的DHCPReguest请求信息。
6、更新租约
• 当DHCP服务器向客户机出租的IP地址租期达到50%时,就需要更新租约。
• 客户机直接向提供租约的服务器发送DHCPRequest包要求更新现有的地址租约。
四、使用DHCP动态配置主机地址
1、DHCP服务
• 为大量客户机自动分配地址,提供集中管理
• 减轻管理和维护成本、提高网络配置效率
2、可分配的地址信息主要包括
• 网卡的IP地址、子网拖码
• 对应的网络地址、广播地址
• 默认网关地址
• DNS服务器地址
五、DHCP场景应用实验
实验目的:在单位时,运用DHCP协议设置地址池,让公司员工的主机都能自动识别,并且分
发范围内的IP地址 作为服务器的主机不用调整网卡的dhcp状态。
1、环境配置
1.1 实验环境:
3台机器
centos 7-1 DHCP 服务端 192.168.65.2 (为了实验方便,将此IP定义为该网段的网关)
centos 7-2 DHCP 客户端 自动分配
windows 10 DHCP 客户端 自动分配
1.2 网络环境:
① Vmnet2(仅主机模式)
② vmware workstation 的虚拟网络编辑器中的DHCP功能必须关闭
③ 确定好Vmnet2 仅主机模式的IP地址段是多少
④ 注意 DHCP服务端的网卡信息的配置(GATEWAY 不要写)
1.3 系统环境:
① 先安装好DHCP服务,再行修改网络配置(nat-》Vmnet2)
② 或者,修改完网络配置后,配置本地YUM仓库,再行安装DHCP
③ 每台机器,关闭防火墙、核心防护
2、实验步骤
第一步: 在Linux虚拟机中安装好dhcpd软件应用
第二步:将相对应的example复制到dhcpd.conf中
第三步:关掉防火墙和selinux保护
[root@localhost ~]#systemctl stop firewalld [root@localhost ~]#setenforce 0
第四步:修改网卡配置文件,重启网络服务。
vim /etc/sysconfig/network-scripts/ifcfg-ens33
systemctl restart network
ifconfig ens33
第五步:编辑 dchp全局配置文件,设置好对应的网络池 检查并且安装dhcp有关软件包 [root@localhost ~]#rpm -qc dhcp
[root@localhost ~]#yum install -y dhcp
[root@localhost ~]#cd /usr/share/doc/dhcp-4.2.5/
[root@localhost ~]#less dhcpd.conf.example
[root@localhost ~]#cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example
/etc/dhcp/dhcpd.conf
[root@localhost ~]#vim /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf
subnet 192.168.233.0 netmask 255.255.255.0{
range 192.168.233.30 192.168.233.50;
option routers 192.168.233.2; }
第六步:重启网卡,启用dhcp服务
systemctl restart network
systemctl restart dhcpd
systemctl status dhcpd
第七步:新开一台虚拟机进行仅主机操作 全部要主机模式
把static改成dhcp
第八步:刷新网卡,通过DHCP获取IP
systemctl restart network
ifconfig ens33
第九步:查看租约
less /var/lib/dhcpd/dhcpd.lease
六、FTP服务
FTP是FileTransferProtocol (文件传输协议)的英文简称,而中文简称为“文传协议”。用于
Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)基于不同的操作系
统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
• FTP服务器默认使用TCP协议的20、21端口与客户端进行通信。
• 20端口用于建立数据连接,并传输文件数据。
• 21端口用于建立控制连接,并传输FTP控制命令。
ftp的数据连接模式:
主动模式:服务器主动发起数据连接
被动模式:服务器被动等待数据连接
1、主动模式(Active Mode)
在主动模式下,FTP客户端首先与FTP服务器的默认端口(通常是端口21)建立控制连接。当
需要进行数据传输时,客户端会随机选择一个未使用的端口(通常是大于1024的端口)作为源端
口,然后告知服务器使用该端口进行数据连接。服务器通过控制连接将数据连接请求发送到客户端
的指定端口建立数据连接并进行数据传输。
2、被动模式(Passive Mode)
在被动模式下,FTP客户端首先与FTP服务器的默认端口(通常是端口21)建立控制连接。当
需要进行数据传输时,服务器会随机选择一个未使用的端口(通常是大于1024的端口)作为源端
口,并将该端口告知客户端。客户端通过控制连接向服务器指定的端口发起数据连接,建立数据连
接并进行数据传输。
小结:
主动模式和被动模式在数据连接的建立方式上有所区别,主要涉及客户端和服务器之间数据
连接的建立和传输。在网络环境复杂或存在防火墙的情况下,被动模式通常更容易穿越防火墙,因
此在实际应用中被广泛使用。
七、VSFTPD服务应用实验
1、vsftpd安装
rpm -qc vsftpd //检查vsftpd安装包是否存在,存在即不需要安装
yum install -y vsftpd //yum 安装vsftpd
cd /etc/vsftpd ls //切换到安装好vsftpd目录下查看文件
cp vsftpd.conf vsftpd.conf.bak //将vsftpd的配置文件进行备份
2、vsftpd的配置
2.1 vsftpd初始化全局配置
vim /etc/vsftpd/vsftpd.conf anonymous_enable=YES #开启匿名用户访问。默认已开启 local_enable=YES #允许系统用户进行访问(useradd zhangsan)
write_enable=YES #开放服务器的写权限(若要上传,必须开启)。默认已开启 anon_umask=022 #设置匿名用户所上传数据的权限掩码(反掩码)。
2.2 让匿名用户拥有访问本机和各种权限
anon_umask=022 #设置匿名用户所上传数据的权限掩码(反掩码)
anon_upload_enable=YES #允许匿名用户上传文件。默认已注释,需取消注释
anon_mkdir_write_enable=YES #允许匿名用户创建(上传)目录。默认已注释,需取消注释
anon_other_write_enable=YES #允许删除、重命名、覆盖等操作。需添加
2.3 重启vsftpd服务,关闭安全防护
[root@localhost vsftpd]#systemctl restart vsftpd
[root@localhost vsftpd]#systemctl stop firewalld
[root@localhost vsftpd]#setenforce 0
chmod 777 /var/ftp/pub/ 这是匿名用户的默认根目录
echo 'hello world!' > test.txt
3、匿名访问测试
在Windows系统打开开始菜单,输入cmd 命令打开命令提示符
#建立ftp连接
ftp 192.168.233.21 #匿名访问,用户名为ftp,密码为空,直接回车即可完成登录
ftp> pwd #匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls #查看当前目录
ftp> cd pub #切换到pub目录
ftp> get文件名 #下载文件到当前Windows本地目录
ftp> cd pub
250 Directory successfully changed.
ftp> ls
ftp> get test.txt #获取目录中的文件下载到电脑
ftp> ls
ftp> put test4.txt
存在的缺点:匿名用户权限过高,存在安全隐患
4、设置本地用户验证访问ftp
设置本地用户可以访问ftp,禁止匿名用户登录
[root@localhost ftp]# useradd zhangsan
[root@localhost ftp]# echo '123' | passwd --stdin zhangsan
[root@localhost ftp]# useradd lisi
[root@localhost ftp]# echo '123' | passwd --stdin lisi
vim /etc/vsftpd/vsftpd.conf
local_enable=Yes #启用本地用户
anonymous_enable=NO #关闭匿名用户访问
write_enable=YES #开放服务器的写权限(若要上传,必须开启)
local_umask=077 #可设置仅宿主用户拥有被上传的文件的权限(反掩码)
ftp 192.168.233.21
zhangsan
123
OK
5、对本地用户访问切换目录进行限制,添加、切换目录的限制配置 :
vim /etc/vsftpd/vsftpd.conf
chroot_local_user=YES #将访问禁锢在用户的宿主目录中 取消注释即可
allow_writeable_chroot=YES #允许被限制的用户主目录具有写权限
systemctl restart vsftpd
C:\Users\DING>ftp 192.168.233.21
连接到 192.168.233.21
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.233.21:(none)): zhangsan
331 Please specify the password.
密码:
230 Login successful.
ftp> cd /etc
550 Failed to change directory.
ftp>
6、修改匿名用户、本地用户登录的默认根目录
anon_root=/var/www/html #anon_root 针对匿名用户
local_root=/var/www/html #local_root 针对本地用户
7、黑名单和白名单的使用
在安装vsftpd服务后,官方在服务目录中提供了user_list,(其中就是为了我们更好利用黑名单和白名单的手册)。
黑名单:在黑名单上标记的用户,是我们禁止访问的对象。
白名单:在白名单上标记的用户是我们允许访问的对象,白名单比黑名单的制定更为严格和安全。
黑名单
userlist_enable=YES #启用user_list用户列表文件
userlist_deny=YES #默认为YES,为黑名单,禁止user_list名单上的用户进行访问
白名单
userlist_enable=YES #启用user_list用户列表文件
userlist_deny=NO #设置白名单,仅允许user_list用户列表文件的用户访问
要想使用root用户,需要把ftpusers里面的root用户注销掉即可
测试实验:
C:\Users\DING>ftp 192.168.233.21
连接到 192.168.233.21。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.233.21:(none)): zhangsan
530 Permission denied. 登录失败。
ftp> quit
221 Goodbye.
C:\Users\DING>ftp 192.168.233.21
连接到 192.168.233.21。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.233.21:(none)): lisi
331 Please specify the password.
密码:
230 Login successful.
ftp>
张三不能输入密码
也可以在windows输入文件同步:
ftp://lisi@192.168.233.21
lisi
123