DHCP和FTP

DHCP

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）

主要作用是集中地管理、分配IP地址，是网络环境中的主机动态的获得IP地址、Gateway地址、DNS等信息。

• 给内部网络，供应商自动分配IP地址。

• 给用户、内部管理员作为所有计算机的中央管理手段。

作为用应用层协议，它依靠并且使用者传输层的UDP协议。DHCP中分为客户端和服务端。客户端用的端口为68，服务端的端口为67。

DHCP的优点：

• 减少管理员的工作量

• 避免输入错误的可能

• 避免IP地址冲突

• 当更改IP地址段时，不需要重新配置每个用户的IP地址

• 提高了IP地址的利用率

• 方便客户端的配置

DHCP的分配方式：

自动分配：分配到一个IP地址后永久使用。

手动分配：由DHCP服务器管理员专门指定IP地址。

动态分配：使用完后释放该IP，供其他客户机使用。

DHCP租约过程：

客户机从DHCP服务器获得IP地址的过程称为DHCP的租约过程。

1. 客户端在网络中搜索服务器

2. 服务器向客户端响应服务

3. 客户端向目标服务器发出服务请求

4. 服务器向客户端提供服务

客户机请求IP地址：

当一个DHCP客户机启动时间，客户机还没有IP地址，所以客户机要通过DHCP获取一个合法的地址。

此时DHCP客户机以广播方式发送DHCP Discover发送信息来寻找DHCP服务器。

服务器响应：

DHCP服务器接收到来自客户机的请求IP地址的信息时，在自己的IP地址池中查找是否有合法的IP地址提供给客户机。

如果有，DHCP服务器将此IP地址上做上标记，加入到DHCP Offer的消息中，然后广播一则DHCP Offer消息。

客户机选择IP地址：

DHCP客户机从接收到的第一个DHCP Offer消息中提取IP地址，发出IP地址的DHCP服务器将该地址保留，这样该地址就

不能再分配给另一个DHCP客户机。（此机制为了防止资源混乱）

服务器确定租约：

DHCP服务器接收到DHCP Request消息后，以DHCP ACK消息的形式向客户机广播成功确认，该消息包含有IP地址的有

效租约和其他可配置的信息。

当客户机收到DHCP ACK消息时，配置IP地址，完成TCP/IP的初始化。

重新登陆：

DHCP客户机每次重新登录网络时，不需要再发送 DHCP Discover信息，而是直接发送包含前一次所分配IP地址的DHCP Request请求。

更新租约：

当DHCP服务器向客户机出租的IP地址租期达到50%时，就需要更新租约。

客户机直接向提供租约的服务器发送DHCP Request包，要求更新现有的地址租约。（实际控制权在服务器手上）

DHCP服务

• 为大量客户机自动分配地址，提供集中管理

• 减轻管理和维护成本，提高网络配置效率

DHCP的安装

检查并且安装dhcp有关软件包

[root@localhost ~]#rpm -qc dhcp
[root@localhost ~]#yum install -y dhcp
[root@localhost ~]#less dhcpd.conf
[root@localhost ~]#cd /usr/share/doc/dhcp-4.2.5/
[root@localhost ~]#less dhcpd.conf.example
 
[root@localhost ~]#cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf     #设置备份
 
[root@localhost ~]#vim /etc/dhcp/dhcpd.conf

设置DHCP全局配置参数:

option domain-name "benet.com";         #指定默认域名
option domain-name-servers ip1,ip2;     #指定 DNS 服务器地址
default-lease-time n ;                    #默认租约为 n，单位为秒
max-lease-time x;                         #最大租约为 n ，单位为秒
ddns-update-style none;                 #禁用 DNS 动态更新

配置书写

#subnet网段声明（作用于整个子网段，部分配置参数优先级高于全局配置参数）
# This is a very basic subnet declaration.
subnet 192.168.179.0 netmask 255.255.255.0 {
  range 192.168.179.40 192.168.179.50;
  option routers 192.168.179.2;
}
# This declaration allows BOOTP clients to get dynamic addresses,
# which we don't really recommend.

#host主机声明（给单机分配固定的 IP 地址）
host hostname {                                        #指定需要分配固定 IP地址的客户机名称
  hardware ethernet 00:c0:c3:22:46:81;                #指定该主机的 MAC地址
  fixed-address 192.168.4.100;                        #指定保留给该主机的 IP地址
}

接收方查看：

[root@localhost richard1]# systemctl  restart network
[root@localhost richard1]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.179.40  netmask 255.255.255.0  broadcast 192.168.179.255
        inet6 fe80::20c:29ff:fe49:4eee  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:49:4e:ee  txqueuelen 1000  (Ethernet)
        RX packets 6865  bytes 585210 (571.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 5133  bytes 725160 (708.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 399  bytes 38714 (37.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 399  bytes 38714 (37.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.122.1  netmask 255.255.255.0  broadcast 192.168.122.255
        ether 52:54:00:5f:b6:75  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

租约查看：

[root@localhost dhcp-4.2.5]# less /var/lib/dhcpd/dhcpd.leases

# The format of this file is documented in the dhcpd.leases(5) manual page.
# This lease file was written by isc-dhcp-4.2.5

server-duid "\000\001\000\001+\232\270\336\000\014)\3626\252";

lease 192.168.179.40 {
  starts 3 2023/03/08 03:49:30;
  ends 3 2023/03/08 03:59:30;
  cltt 3 2023/03/08 03:49:30;
  binding state active;
  next binding state free;
  rewind binding state free;
  hardware ethernet 00:0c:29:49:4e:ee;
}
~
~

DHCP场景应用实验

实验目的：在单位时，运用DHCP协议设置地址池，让公司员工的主机都能自动识别，并且分发范围内的IP地址作为服务器的主机不用调整网卡的dhcp状态

第一步： 在Linux虚拟机中安装好dhcpd软件应用

第二步：将相对应的example复制到dhcpd.conf中

第三步：关掉防火墙和selinux保护

[root@localhost ~]#systemctl stop firewalld

[root@localhost ~]#setenforce 0

第四步：修改网卡配置文件，重启网络服务。

vim /etc/sysconfig/network-scripts/ifcfg-ens33

systemctl restart network

ifconfig ens33

第五步：编辑 dchp全局配置文件，设置好对应的网络池

vim /etc/dhcp/dhcpd.conf

subnet 192.168.179.0 netmask 255.255.255.0{

range 192.168.179.30 192.168.179.40

option routers 192.168.179.2

}

第六步：重启网卡，启用dhcp服务

systemctl restart network

systemctl restart dhcpd

systemctl status dhcpd

第七步：新开一台虚拟机进行仅主机操作

全部要主机模式

把static改成dhcp

第八步：刷新网卡，通过DHCP获取IP

systemctl restart network

ifconfig ens33

第九步：查看租约(发送方查看)

less /var/lib/dhcpd/dhcpd.leases

可分配的地址信息主要包括：

• 网卡的IP地址、子网掩码

• 对应的网络地址、广播地址

• 默认网关地址

• DNS服务器地址

range地址池 option routers 指定默认网关地址 subnet声明网段 netmask子网掩码

FTP

FTP（File Transfer Protocol，文件传输协议）用于Internet上的控制文件的双向传输，同时也是一个应用程序。

FTP服务器默认使用TCP协议的20/21端口与客户端进行通信

20端口用于建立数据连接，并传输文件数据。

21端口用于建立控制连接，并传输FTP控制命令。

FTP的数据连接模式

主动模式：服务器主动发起数据连接

被动模式：服务器被动等待数据连接

svftpd的安装和配置

svftpd安装

rpm -qc vsftpd //检查vsftpd安装包是否存在，存在即不需要安装

yum install -y vsftpd //yum 安装vsftpd

cd /etc/vsftpd

ls //切换到安装好vsftpd目录下查看文件

cp vsftpd.conf vsftpd.conf.bak //将vsftpd的配置文件进行备份

vsftpd中配置作用

vsftpd初始化全局配置

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES #开启匿名用户访问。默认已开启

local_enable=YES #允许系统用户进行访问

write_enable=YES #开放服务器的写权限（若要上传，必须开启）。默认已开启

anon_umask=022 #设置匿名用户所上传数据的权限掩码（反掩码）。

让匿名用户拥有访问本机和各种权限

anon_umask=022 #设置匿名用户所上传数据的权限掩码（反掩码）。

anon_upload_enable=YES #允许匿名用户上传文件。默认已注释，需取消注释

anon_mkdir_write_enable=YES #允许匿名用户创建（上传）目录。默认已注释，需取消注释

anon_other_write_enable=YES #允许删除、重命名、覆盖等操作。需添加

重启vsftpd服务，关闭安全防护

[root@localhost vsftpd]#systemctl restart vsftpd

[root@localhost vsftpd]#systemctl stop firewalld

[root@localhost vsftpd]#setenforce 0

chmod 777 /var/ftp/pub/ 这是匿名用户的默认根目录

echo 'hello world!' > test.txt

#匿名访问测试

在Windows系统打开开始菜单，输入cmd 命令打开命令提示符

#建立ftp连接

ftp 192.168.179.20

#匿名访问，用户名为ftp，密码为空，直接回车即可完成登录

ftp> pwd #匿名访问ftp的根目录为Linux系统的/var/ftp/目录

ftp> ls #查看当前目录

ftp> cd pub #切换到pub目录ftp> get文件名 #下载文件到当前Windows本地目录

ftp> cd pub

250 Directory successfully changed.

ftp> ls

ftp> get test.txt #获取目录中的文件下载到电脑

ftp> ls

ftp> put test4.txt

存在的缺点：匿名用户权限过高，存在安全隐患

设置本地用户验证访问ftp

设置本地用户可以访问ftp，禁止匿名用户登录
[root@localhost ftp]# useradd xxu
[root@localhost ftp]# echo '123' | passwd --stdin xxu
[root@localhost ftp]# useradd xny
[root@localhost ftp]# echo '123' | passwd --stdin xny
vim /etc/vsftpd/vsftpd.conf
local_enable=Yes         #启用本地用户
anonymous_enable=NO      #关闭匿名用户访问
write_enable=YES         #开放服务器的写权限（若要上传，必须开启）
local_umask=077           #可设置仅宿主用户拥有被上传的文件的权限（反掩码）

ftp 192.168.179.20

xxu

123

OK

对本地用户访问切换目录进行限制

添加切换目录的限制配置 ：

vim /etc/vsftpd/vsftpd.conf
chroot_local_user=YES    #将访问禁锢在用户的宿主目录中 取消注释即可
allow_writeable_chroot=YES #允许被限制的用户主目录具有写权限
systemctl restart vsftpd

C:\Users\DING>ftp 192.168.179.20

连接到 192.168.179.20

220 (vsFTPd 3.0.2)

200 Always in UTF8 mode.

用户(192.168.179.20:(none)): xxu

331 Please specify the password.

密码:

230 Login successful.

ftp> cd /etc

550 Failed to change directory.

ftp>

修改匿名用户、本地用户登录的默认根目录

anon_root=/var/www/html#anon_root 针对匿名用户

local_root=/var/www/html#local_root 针对本地用户

C:\Users\R1chArd>ftp 192.168.179.20
连接到 192.168.179.20。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.179.20:(none)): xny
331 Please specify the password.
密码:
230 Login successful.
ftp> pwd
257 "/var/www/html"
ftp>

黑名单和白名单的使用

在安装vsftpd服务后，官方贴心的为我们在服务目录中提供了user_list (其中就是为了我们更好利用黑名单和白名单的手册)。

黑名单：在黑名单上标记的用户，是我们禁止访问的对象。

白名单：在白名单上标记的用户是我们允许访问的对象，从某种意义上来讲，白名单比黑名单的制定更为严格和安全。

user_list 本身就是黑名单，加入了之后就不能登录

黑名单的使用

vim vsftpd.conf进行编辑

userlist_enable=YES #启用user_list用户列表文件

userlist_deny=NO #设置白名单，仅允许user_list用户列表文件的用户 访问。默认为YES，为黑名单，禁用

systemctl restart vsftpd

user_list用户列表：

vim user_list编辑：

C:\Users\R1chArd>ftp 192.168.179.20
连接到 192.168.179.20。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.179.20:(none)): xny
530 Permission denied.
登录失败。
ftp> quit
221 Goodbye.

C:\Users\R1chArd>ftp 192.168.179.20
连接到 192.168.179.20。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.179.20:(none)): ftp
530 Permission denied.
登录失败。
ftp> quit

C:\Users\R1chArd>ftp 192.168.179.20
连接到 192.168.179.20。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.179.20:(none)): tvt
331 Please specify the password.
密码:
230 Login successful.

rz 文件名 #下载指定文件到服务器

sz 文件名 #把服务器的文件下载到客户端