目录
一、DHCP
1.1 DHCP概述
1.2 DHCP的优势
1.3 DHCP的模式与分配方式*****
1.3.1 DHCP的模式:C/S模式(客户机与服务器模式)
1.3.2 DHCP的分配方式
1.4 DHCP的租约过程及原理
1.4.1 DHCP的工作原理*****
1.4.2 更新租约原理*****
1.5 安装DHCP服务及相关配置流程(熟练)
1.5.1 DHCP局部配置并且测试
1.5.2 客户机预留指定的固定ip地址
二、FTP
2.1 概述
2.1.1 什么是ftp
2.2.2 FTP端口的作用
2.2.3 FTP的运作方式
2.2 FTP作用与工作原理
2.2.1 FTP的作用和模式以及通信方式
2.2.2 FTP工作原理与流程
2.2.3 主动模式的工作原理:
2.2.4 被动模式的工作原理:
2.3 补充扩展:
2.4 搭建和配置FTP服务
2.4.1 匿名用户服务端与客户端登陆模式
2.4.2 用户登录禁锢和黑白名单
2.4.2.1 禁锢
2.4.2.2 黑白名单
一、DHCP
1.1 DHCP概述
- DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)
- 由Internet工作任务小组设计开发
- 专门用于为TCP/IP网络中的计算机自动分配TCP/IP参数的协议
1.2 DHCP的优势
- 使用DHCP的好处
- 减少管理员的工作量
- 避免输入错误的可能
- 避免IP地址冲突
- 当更改IP地址段时,不需要重新配置每个用户的IP地址
- 提高了IP地址的利用率
- 方便客户端的配置
小题一道:为什么使用DHCP?
DHCP 服务避免了因手动设置 IP 地址所产生的错误,同时也避免了把一个 IP 地址分配给多台工作站所造成的地址冲突。DHCP 提供了安全、可靠且简单的 TCP/IP 网络设置,降低了配置 IP 地址的负担
1.3 DHCP的模式与分配方式*****
1.3.1 DHCP的模式:C/S模式(客户机与服务器模式)
简介:
服务端:在网络中架设一台专用的DHCP服务器,负责集中分配 各种网络地址参数(主要包括 IP 地址、子网掩码、广播地址、默认网关地址、DNS 服务器地址)
客户端:其他主机作为 DHCP 客户机,将网卡配置为自动获取地址,即可与 DHCP 服务器进行通信,完成自动配置过程
DHCP 是 C/S 模式,DHCP 服务端和客户端需要保持通信,DHCP 基于 UDP 协议,双方都有可能会主动向对方发起通信,因此双方都需要监听端口
Server 端:DHCP Server(运行 dhcp 服务)
UDP 服务:监听端口 67(bootps)
Client 端:DHCP Client(运行 dhcp 程序)
UDP 服务:监听端口 68 (bootpc)
1.3.2 DHCP的分配方式
- 自动分配:分配到一个IP地址后永久使用
- 手动分配:由DHCP服务器管理员专门指定IP地址
- 动态分配:使用完后释放该IP,供其它客户机使用
1.4 DHCP的租约过程及原理
1.4.1 DHCP的工作原理*****
过程简介:客户机从DHCP服务器获得IP地址的过程称为DHCP的租约过程
补:广播进行,先到先得 一个网络中只能有一个DHCP
详细过程(原理):
- 客户机请求 IP 地址:当一个 DHCP 客户机启动时,客户机还没有 IP 地址,所以客户机要通过 DHCP 获取一个合法的地址。此时DHCP客户机以广播方式发送 DHCP Discover 发现信息来寻找 DHCP 服务器
- 服务器响应:当DHCP服务器接收到来自客户机请求 IP 地址的信息时,它就在自己的 IP 地址池中查找是否有合法的 IP 地址提供给客户机。如果有,DHCP 服务器就将此 IP 地址做上标记, 加入到 DHCP Offer 的消息中,然后 DHCP 服务器就广播一则 DHCP Offer 消息
- 客户机选择 IP 地址:DHCP客户机从接收到的第一个DHCP Offer消息中提取IP地址,发出IP地址的DHCP 服务器将该地址保留,这样该地址就不能再分配给另一个 DHCP 客户机。之后 DHCP 客户 机会向服务器发送 DHCP Request 消息
- 服务器确定租约:DHCP 服务器接收到 DHCP Request 消息后,以 DHCP ACK 消息的形式向客户机广播成功确认,该消息包含有 IP 地址的有效租约和其他可配置的信息。当客户机收到 DHCP ACK 消息时,它就配置了 IP 地址,完成 TCP/IP 的初始化
简单理解:
1、求职者广泛投放简历(广播)找工作(广播discover)
2、多个HR接受(discover),加入面试名单(给IP地址做标记)让多个求职者(广播)去面试地点(发送带有合法IP的offer)
3、接受信息(接受offer),获得面试地址(从offer中提取IP地址)。求职者优先选择第一个收到的消息,然后排序。按照接受顺序进行面试,告知HR(广播discover)
4、HR接受消息(discover),按接收时间顺序,进行确认,并按时间顺序将消息(包含续约时长等信息)发给各个求职者(广播发送ACK消息,向客户机确认)。当求职者接受消息,签字,完成求职(收到ACK消息,配置IP地址,完成TCP/IP的初始化)
注意:关于重新登录的情况
DHCP 客户机每次重新登录网络时,不需要再发送 DHCP Discover 信息,而是直接发送包含前一次所分配的 IP 地址的 DHCP Request 请求信息。
1.4.2 更新租约原理*****
租期达到50%(T1):
DHCP客户端会自动以单播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址
当租期达到87.5%(T2):
如果仍未收到DHCP服务器的应答,DHCP客户端会自动以广播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址。
简单理解:
续期达到50%
任职者会主动与HR发消息,进行续约(以单播的方式,发送request报文给DHCP服务器,请求更新IP地址租期),HR恢复确认,则续约成功(服务器回应ACK报文,则租期更新成功),如果HR不同意,则广泛投放简历,寻找新的面试地点(收到NAK,则客户端广播发送DISCOVER报文,请求新的IP地址)
当租期达到87.5%
如果HR未进行回复,任职者会继续发消息(发送DHCP REQUEST报文)给多个HR(服务端)(广播),请求进行续约(请求更新IP地址租期)。如果收到确认消息,则续约成功(如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功)。如果收到拒绝消息,则广泛投放简历,寻找新的面试地点(收到NAK,则客户端广播发送DISCOVER报文,请求新的IP地址)
小题一道:为什么会获得169.254.0.0/16网段的地址?
一开始,DHCP客户机初始化TCP/IP,通过UDP端口67向网络中发送一个DHCPDISCOVER广播包,请求租用IP地址。任何接收到DHCPDISCOVER广播包并且能够提供IP地址的DHCP服务器,都会通过UDP端口68给客户机回应一个DHCPOFFER广播包,提供一个IP地址。但是,DHCP客户机在发出IP租用请求的DHCPDISCOVER广播包后,将花费1秒钟的时间等待DHCP服务器的回应,如果1秒钟没有服务器的回应,它会将这一广播包重新广播四次(以2,4,8和16秒为间隔,加上1~1000毫秒之间随机长度的时间)。四次之后,如果仍未能收到服务器的回应,则运行Windows的DHCP客户机将从169.254.0.0/16这个自动保留的私有IP地址(APIPA)中选用一个IP地址,而运行其他操作系统的DHCP客户机将无法获得IP地址
1.5 安装DHCP服务及相关配置流程(熟练)
1.5.1 DHCP局部配置并且测试
查看配置文件有哪些
服务刚安装好,配置文件是没有任何东西的,需要把模板拷贝过来
修改配置文件
简单理解:
subnet 192.17.20.0 netmask 255.255.255.0 { //声明网段地址
#default-lease-time 6000; //默认租约为6000秒,当和全局设置重复时,subnet里的配置生效
range 192.17.20.110 192.17.20.120; //设置地址池
#option broadcast-address 192.17.20.255; //定义广播地址
option routers 192.17.20.100; //指定默认网关地址
option domain-name-servers 8.8.8.8; //定义DNS服务器
}
检验与验证
1.5.2 客户机预留指定的固定ip地址
记上述步骤
先更改配置文件
进入win10 刷新进行验证
查看
less /var/lib/dhcpd/dhcpd.leases
查看到DHCP 请求过程
二、FTP
2.1 概述
2.1.1 什么是ftp
FTP(File Transfer Protocol,文件传输协议)是典型的C/S架构的应用层协议,需要由服务端软件、客户端软件两个部分共同实现文件传输功能。FTP客户端和服务器之间的连接是可靠的,面向连接的,为数据的传输提供了可靠的保证
2.2.2 FTP端口的作用
TCP协议:20,21端口
21端口: 用于传输指令
20端口:用于传输数据
2.2.3 FTP的运作方式
FTP是一种文件传输协议,它支持两种模式,一种方式叫做Standard (也就是 Active,主动方式),一种是 Passive (也就是PASV,被动方式)。
Standard模式 FTP的客户端发送 PORT 命令到FTP server。
Passive模式FTP的客户端发送 PASV命令到 FTP Server
Standard模式(主动模式)
FTP 客户端首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
Passive模式(被动模式)
在建立控制通道的时候和Standard模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。
2.2 FTP作用与工作原理
2.2.1 FTP的作用和模式以及通信方式
作用:Internet 上用来传送文件的协议。
VSFTP全称 (very secure FTP)
VSFTP模式: C/S模式(客户端与服务端)
FTP服务器默认使用TCP协议的20、21端口与客户端进行通信
20端口用于建立数据连接,并传输文件数据
21端口用于建立控制连接,并传输FTP控制命令
2.2.2 FTP工作原理与流程
FTP数据连接分为两种模式:
主动模式和被动模式
FTP 会话包含了两个通道,控制通道(21)和数据传输通道(20)。
FTP 的工作有两种模式,一种是主动模式,一种是被动模式。
以 FTP Server 为参照,
主动模式,服务器主动连接客户端传输
被动模式,等待客户的连接。
2.2.3 主动模式的工作原理:
FTP 客户端连接到 FTP 服务器的 21 号端口,发送用户名和密码,客户端随机开放一个端口(1024 以上),发送PORT 命令到FTP 服务器,告知服务器客户端采用主动模式并开放端口,FTP 服务器收到PORT主动模式命令和端口后,通过服务器的 20 号端口和客户端开放的端口连接,发送数据,原理画图所示,(无论是主动还是被动模式,首先的控制通道都是先建立起来,只是在数据传输模式上的区别)
2.2.4 被动模式的工作原理:
PASV 是 Passive 的缩写,中文成为被动模式,工作原理:FTP 客户端连接到 FTP 服务器所监听的21 号端口,发送用户名和密码,发送 PASV 命令到 FTP 服务器,服务器在本地随机开放一个端口(1024 以上),然后把开放的端口告知客户端,而后客户端再连接到服务器开放的端口进行数据传输,原理画图所示。
注:以上的说明主动和被动,是相对于的 FTP server 端而判断,如果 server 去连接client开放的端口,说明是主动的,相反,如果 client去连接server开放的端口,则是被动。
总结:
主动模式:服务器主动发起数据连接
被动模式:服务器被动等待数据连接
2.3 补充扩展:
FTP服务器默认使用TCP协议的20、21端口与客户端进行通信
windows: Serv-U、FTP server、filezilla server
linux:ProFTPD 重点:Very Secure FTP(vsftp)工作环境中都用这个FTP服务
TFTP 69 简单FTP
ssh SFTP 文件传输
2.4 搭建和配置FTP服务
2.4.1 匿名用户服务端与客户端登陆模式
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES #开启匿名用户访问。默认已开启
write_enable=YES #开放服务器的写权限(若要上传,必须开启)。默认已开启
anon_umask=022 #设置匿名用户所上传数据的权限掩码(反掩码)。
anon_upload_enable=YES #允许匿名用户.上传文件。默认已注释,需取消注释
anon_mkdir_write_enable=YES #允许匿名用户创建(上传)目录。默认已注释,需取消注释
anon_other_write_enable=YES #允许删除、重命名、覆盖等操作。需添加
chmod 777 /var/ftp/pub/ #为匿名访问ftp的根目录下的pub子目录设置最大权限,以便匿名用户.上传数据
(都需知道什么意思)
简单总结:
匿名访问测试
在Windows系统打开开始菜单,输入cmd 命令打开命令提示符
#建立ftp连接
ftp 192.17.20.66
#匿名访问,用户名为ftp,密码为空,直接回车即可完成登录
ftp> pwd #匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls #查看当前目录
ftp> cd pub #切换到pub目录
ftp> get文件名 #下载文件到当前Windows本地目录
ftp> put 文件名 #上传文件到ftp目录
ftp> quit #退出
2.4.2 用户登录禁锢和黑白名单
2.4.2.1 禁锢
设置本地用户验证访问ftp,并禁止切换到ftp以外的目录(默认登录的根目录为本地用户的家目录)
总结:
vim /etc/vsftpd/vsftpd. conf
local_enable=Yes #启用本地用户
anonymous_enable=NO #关闭匿名用户访问
write_enable=YES #开放服务器的写权限(若要上传,必须开启)
local_umask=077 #可设置仅宿主用户拥有被上传的文件的权限(反掩码)
chroot_local_user=YES #将访问禁锢在用户的宿主目录中
allow_writeable_chroot=YES #允许被限制的用户主目录具有写权限
#anon_mkdir_write_enable=YES 注释
#anon_other_write_enable=YES 注释
2.4.2.2 黑白名单
总结:
使用user_list用户列表文件
vim /etc/vsftpd/user_list
//末尾添加zhangsan用户
zhangsan
vim /etc/vsftpd/vsftpd.conf
userlist_enable=YES #启用user_list用户列表文件
userlist_deny=NO #设置白名单,仅允许user_list用户列表文件的用户访问。默认为YES,为黑名单,禁用