DHCP原理与配置以及ftp

一、DHCP服务

1.1 DHCP简介

DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下DHCP需要管理员手动安装并进行必要的配置。

DHCP服务属于TCP/IP五层协议的应用层

DHCP分为服务端和客户端，服务端端口号67、客户端端口号68

1.2 DHCP优点

1. 减少管理员的工作量

2. 避免输入错误的可能

3. 避免IP地址冲突

4. 当更改lP地址段时，不需要重新配置每个用户的IP地址

5. 提高了IP地址的利用率

6. 方便客户端的配置

1.3 DHCP作用

DHCP属于局域网的配置，分配的是内网IP地址等信息

1.4 分配方式

1. 自动分配:分配到一个IP地址后永久使用

2. 手动分配:由DHCP服务器管理员专门指定IP地址，适用于小型局域网

3. 动态分配:使用完后释放该IP，供其它客户机使用

二、DCHP工作原理

客户机从DHCP服务器获得IP地址的过程称为DHCP的租约过程分为四个步骤：

1.客户端请求IP地址

• 客户端以广播的形式发出Discover报文，在网络中搜索

2.服务端回应

• 服务端自检地址池中有无可用IP，选出一个可用IP，打上标记，发送offer报文（包含可用地址IP的信息，也是广播方式）

3.客户端选择IP地址

• 客户端第一个响应的offer报文中，吧可用IP提取出来，服务端把这个IP地址保留，保留后这个IP就不会被分配给其他客户端

4.服务器确定续约

• DHCP服务端发送ACK确认消息，以广播形式通知客户端可以使用IP地址，消息当中包含租约信息和其他可配置信息
• 客户端收到ACK消息是，配置IP地址，完成配置

重新登录：

• DHCP客户机每次重新登录网络时，不需要再发送DHCP Discover信息,而是直接发送包含前一次所分配的IP地址的DHCP Request请求信息
• 如果IP地址被占用，则重新发送DHCP Discover信息

更新租约：

• 当DHCP服务器向客户机出租的IP地址租期达到50%时，就需要更新租约；客户机直接向提供租约的服务器发送DHCP Request包，要求更新现有的地址租约。

三、使用DHCP动态配置主机地址

3.1 DHCP服务的优点

• 为大量客户机自动分配地址，提供集中管理
• 减轻管理和维护成本、提高网络配置效率

3.2 DHCP配置文件中的参数

#设置DHCP全局配置参数
option domain-name "benet.com"; 		#指定默认域名
option domain-name-servers ip1,ip2; 	#指定 DNS 服务器地址
default-lease-time n;					#默认租约为 n，单位为秒
max-lease-time x; 						#最大租约为 n ，单位为秒
ddns-update-style none;                 #禁用 DNS 动态更新
#subnet网段声明（作用于整个子网段，部分配置参数优先级高于全局配置参数）
subnet 192.168.233.0 netmask 255.255.255.0 {			#声明要分配的网段地址
  range 192.168.233.30 192.168.233.50;				#设置地址池
  option routers 192.168.233.2;					#指定默认网关地址
}
#host主机声明（给单机分配固定的 IP 地址）
host hostname {										#指定需要分配固定 IP地址的客户机名称
  hardware ethernet 00:c0:c3:22:46:81;				#指定该主机的 MAC地址
  fixed-address 192.168.4.100;						#指定保留给该主机的 IP地址
}

3.3 动态配置主机地址

1.先安装DHCP服务

 2.找到DHCP配置文件，将文件备份覆盖，修改配置文件

 3.进入配置文件先配置DHCP，然后重启服务、关闭防火墙、更改安全机制

 

 4.在虚拟机上设置进行仅主机操作

 5.进入虚拟机更改网卡配置文件，将static设置为dhcp,然后重启网卡

 四、ftp（文件传输协议）

4.1 ftp概念

ftp：文件传输协议，是用于Internet上的控制文件的双向传输

应用场景：服务器和Windows之间互传文件。不同的操作系统有不同的ftp应用程序，但是都遵守同一种文件传输协议，ftp也是一个程序。

4.2 工作原理：

ftp服务器使用的是TCP协议的20、21端口与客户端进行通信

• 20端口：用于建立数据连接，并传输文件数据
• 21端口：用于控制连接，并控制fto的传输命令

ftp的数据连接模式 ：

• 主动模式：服务器主动发起数据连接 
• 被动模式：服务器被动等待数据连接 

在网络环境复杂或存在防火墙的情况下，被动模式通常更容易穿越防火墙，因此在实际应用中被广泛使用。

4.3 ftp配置文件中的参数

#vsftpd初始化全局配置
anonymous_enable=YES            #开启匿名用户访问。默认已开启
local_enable=YES                #允许系统用户进行访问
write_enable=YES                #开放服务器的写权限（若要上传，必须开启）。默认已开启
anon_umask=022                  #设置匿名用户所上传数据的权限掩码（反掩码）。
#让匿名用户拥有访问本机和各种权限 
anon_umask=022                  #设置匿名用户所上传数据的权限掩码（反掩码）。
anon_upload_enable=YES          #允许匿名用户上传文件。默认已注释，需取消注释
anon_mkdir_write_enable=YES     #允许匿名用户创建（上传）目录。默认已注释，需取消注释
anon_other_write_enable=YES     #允许删除、重命名、覆盖等操作。需添加
#设置本地用户验证访问ftp
local_enable=Yes        		 #启用本地用户
anonymous_enable=NO     		 #关闭匿名用户访问
write_enable=YES        		 #开放服务器的写权限（若要上传，必须开启）
local_umask=077          		 #可设置仅宿主用户拥有被上传的文件的权限（反掩码）
#对本地用户访问切换目录进行限制
chroot_local_user=YES   		 #将访问禁锢在用户的宿主目录中 取消注释即可
allow_writeable_chroot=YES		 #允许被限制的用户主目录具有写权限

4.4 ftp配置实验

要求：普通用户登录ftp后，只能在自己的家目录里活动

1.yum安装vsftpd

 2.找到vsftpd配置文件并备份

 3.vim vsftpd.conf配置文件

 

4.重启服务、关闭防火墙、更改安全机制

 5.建立一个新用户，并创建文件

 4.验证：

4.5 黑名单、白名单设置

• 黑名单：在黑名单上的用户，是禁止访问的对象

userlist_enable=YES				#启用user_list用户列表文件
userlist_deny=YES				#默认为YES，为黑名单，禁止user_list名单上

• 白名单：在白名单上标记的用户是我们允许访问的对象，白名单比黑名单的制定更为严格和安全

userlist_enable=YES				#启用user_list用户列表文件
userlist_deny=NO				#设置白名单，仅允许user_list用户列表文件的用户访问。

4.5.1 配置黑名单

1.对ftp服务的配置文件vsftpd.conf进行配置

 2.创建2个用户：zz、aa，并将zz用户写入user_list列表名单

  3.重启ftp服务、关闭防火墙、更改安全机制

4. 验证：

4.2 配置白名单 

1.对ftp服务的配置文件vsftpd.conf进行配置

2.用户zz在user_list列表中

3.重启ftp服务、关闭防火墙、更改安全机制

4.验证：