H3CNE学习---dhcp、telnet、ssh、ftp
一、DHCP配置
1、简介
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用客户端/服务器模式,由服务器为网络设备动态地分配IP地址等网络配置参数。DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
2、IP地址分配策略
针对客户端的不同需求,DHCP提供三种IP地址分配策略:
1)手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定固定的IP地址。通过DHCP将配置的固定IP地址分配给客户端。
2)自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
3)动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
3、IP地址获取过程
1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。
2) 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。
3) 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,
该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
4) 确认阶段,即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认将地址分配给该客户端,则返回
DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。
客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内未收到回应,并且客户端上不存在与该地址同网段的其他地
址时,客户端才使用此地址。否则,客户端会发送DHCP-DECLINE报文给DHCP服务器,并重新申请IP地址。
如果网络中存在多个DHCP服务器,除DHCP客户端选中的服务器外,其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。
4、 IP地址的租约更新
DHCP服务器分配给客户端的IP地址具有一定的租借期限(除自动分配的IP地址),该租借期限称为租约。当租借期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,则DHCP客户端需要申请延长IP地址租约。
在DHCP客户端的IP地址租约期限达到一半左右时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,
通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。如果在租约的一半左右时间进行的续约操作失败,DHCP客户端会在租约期限
达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
5、地址池的地址管理方式
静态绑定IP地址,即通过将客户端的MAC地址或客户端ID与IP地址绑定的方式,实现为特定的客户端分配特定的IP地址;
动态选择IP地址,即在地址池中指定可供分配的IP地址范围,当收到客户端的IP地址申请时,从该地址范围中动态选择IP地址,分配给该客户端。
6、DHCP服务器分配IP地址的优先次序
1) 与客户端MAC地址或客户端ID静态绑定的IP地址。
2) DHCP服务器记录的曾经分配给客户端的IP地址。
3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项(Requested IP Address),客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。
4) 按照动态分配地址选择原则,顺序查找可供分配的IP地址,选择最先找到的IP地址。
5) 如果未找到可用的IP地址,则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址,如果找到则进行分配,否则将不予处理。
7、配置基本命令
[R2]dhcp enable 启用dhcp [R2]dhcp server ip-pool A 创建地址池 [R2-dhcp-pool-A]network 12.1.1.0 mask 255.255.255.0 地址池使用的网段 [R2-dhcp-pool-A]dns-list 8.8.8.8 9.9.9.9 地址池使用的dns地址 [R2-dhcp-pool-A]gateway-list 12.1.1.254 地址是使用的网关 [R2]int g0/0 [R2-GigabitEthernet0/0]dhcp select server 配置接口工作在DHCP服务器模式 [R2]dhcp server forbidden-ip 12.1.1.1 12.1.1.10 排除地址,不分配的 [R1]int g0/0 [R1-GigabitEthernet0/0]ip address dhcp-alloc 配置接口通过DHCP协议获取IP地址 [R1-GigabitEthernet0/0]display int br Brief information on interfaces in route mode: Link: ADM - administratively down; Stby - standby Protocol: (s) - spoofing Interface Link Protocol Primary IP Description GE0/0 UP UP 12.1.1.11 GE0/1 DOWN DOWN -- GE0/2 DOWN DOWN -- GE5/0 DOWN DOWN -- GE5/1 DOWN DOWN -- GE6/0 DOWN DOWN -- GE6/1 DOWN DOWN -- InLoop0 UP UP(s) -- Loop0 UP UP(s) 1.1.1.1 [R1]display ip routing-table Destinations : 20 Routes : 20 Destination/Mask Proto Pre Cost NextHop Interface 0.0.0.0/0 Static 70 0 12.1.1.254 GE0/0 生成一条默认路由,把网关作为下一跳 0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0 1.1.1.0/24 Direct 0 0 1.1.1.1 Loop0 1.1.1.0/32 Direct 0 0 1.1.1.1 Loop0 1.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0 1.1.1.255/32 Direct 0 0 1.1.1.1 Loop0 2.2.2.2/32 O_INTRA 10 1 12.1.1.2 GE0/0 3.3.3.3/32 O_INTRA 10 2 12.1.1.2 GE0/0
二、telnet远程控制
1、简介
Telnet协议是TCP/IP协议家族中的一员,是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话,必须输入用户名和密码来登录服务器。Telnet是
常用的远程控制Web服务器的方法。
2、基本命令
[R2]telnet server enable 启用telnet功能,华三默认是关闭的 [R2]local-user h3c 创建用户 [R2-luser-manage-h3c]password simple 123456 设置密码 [R2-luser-manage-h3c]service-type telnet 设置用户用途 [R2]line vty 0 4 去虚拟机终端线路调用(0~4)代表5个用户 [R2-line-vty0-4]authentication-mode scheme 使用3A里面的配置的用户名和密码
三、SSH远程控制
1、SSH认证方式
1)password认证
利用AAA(Authentication、Authorization、Accounting,认证、授权和计费)对客户端身份进行认证。客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将认证请求解密后
得到用户名和密码的明文,通过本地认证或远程认证验证用户名和密码的合法性,并返回认证成功或失败的消息。
客户端进行password认证时,如果远程认证服务器要求用户进行二次密码认证,则会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,由客户端输出并要求用户再
次输入一个指定类型的密码,当用户提交正确的密码并成功通过认证服务器的验证后,服务器端才会返回认证成功的消息。
SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。
2)publickey认证
采用数字签名的方式来认证客户端。目前,设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务
器端。服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回
认证成功或失败的消息。
3)password-publickey认证
对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。
4)any认证
不指定客户端的认证方式,客户端可采用password认证或publickey认证,且只要通过其中任何一种认证即可。
2、配置SSH登录命令
1)开启ssh服务,创建密钥
<R2>system-view [R2]ssh server enable //开启ssh服务 [R2]public-key local create rsa //创建rsa密钥 [R2]public-key local create dsa //创建dsa密钥
2)配置vty虚拟接口
[R2]user-interface vty 0 4 //进入vty配置 [R2-line-vty0-4]authentication-mode scheme //设置认证模式 [R2-line-vty0-4]protocol inbound ssh //设置登陆协议为ssh
3)创建配置用户
[R2]local-user h3c //创建用户h3c [R2-luser-manage-h3c]password simple 123456 //设置密码 [R2-luser-manage-h3c]service-type ssh //设置用户用途 [R2-luser-manage-h3c]authorization-attribute user-role level-3 //设置用户级别为3管理级 [R2-luser-manage-h3c]quit //退出 <R2>save //保存 <R2>reboot //重启
四、FTP配置
1、简介
FTP(File Transfer Protocol,文件传输协议)用于在FTP服务器和FTP客户端之间传输文件,是IP网络上传输文件的通用协议。
FTP协议使用TCP端口20和21进行传输。端口20用于传输数据,端口21用于传输控制消息。
设备既可以作为FTP服务器,也可以作为FTP客户端。
2、FTP文件传输模式
1)二进制模式,用于传输非文本文件(比如后缀名为.app、.bin和.btm的文件);
2)ASCII码模式,用于传输文本格式的文件(比如后缀名为.txt、.bat和.cfg的文件)。
当设备作为FTP客户端时,用户可通过命令行指定使用的传输模式,缺省为二进制模式;当设备作为FTP服务器时,使用的传输模式由FTP客户端决定。
3、FTP的两种工作方式
1)主动方式(PORT):建立数据连接时由FTP服务器发起连接请求,当FTP客户端处于防火墙后时不适用(如FTP客户端处于私网内)。
2)被动方式(PASV):建立数据连接时由FTP客户端发起连接请求,当FTP服务器限制客户端连接其高位端口(一般情况下大于1024)时不适用。
是否使用被动方式由FTP客户端程序决定,不同FTP客户端软件对FTP工作方式的支持情况可能不同,请在使用时以软件的实际情况为准。
4、配置FTP服务器的认证和授权
只有认证通过并授权成功的用户,才能通过FTP访问设备上的指定路径。
设备对FTP客户端的认证,有以下两种方式:
本地认证:设备作为认证服务器,在本设备上验证FTP客户端的用户名和密码是否合法。
远程认证:远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器,由认证服务器来验证用户名/密码是否匹配。
设备对FTP客户端的授权,有以下两种方式:
本地授权:设备给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径。
远程授权:远程服务器给FTP客户端授权,指定FTP客户端可以使用设备上的某个路径。
5、基本配置命令
<R2>system-view [R2]local-user aa class manage 创建用户 [R2-luser-manage-aa]password simple 123 设置密码 [R2-luser-manage-aa]service-type ftp 设置用户用途 [R2-luser-manage-aa]authorization-attribute work-directory flash:/ 设置用户工作目录 [R2-luser-manage-aa]authorization-attribute user-role network-admin 设置用户权限 [R2]ftp server enable 开启ftp服务 <R2>rename startup.cfg cc 重命名 <R2>copy startup.cfg bbb 复制文件
ftp> get cc 下载文件
ftp> put cc 上传文件
6、win以文件方式访问,在文件地址栏输入ip即可
