H3CNE学习---dhcp、telnet、ssh、ftp

一、DHCP配置

　　1、简介

　　DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）采用客户端/服务器模式，由服务器为网络设备动态地分配IP地址等网络配置参数。DHCP客户端和DHCP服务器处于不同物理网段时，客户端可以通过DHCP中继与服务器通信，获取IP地址及其他配置信息。

　　2、IP地址分配策略

　　针对客户端的不同需求，DHCP提供三种IP地址分配策略：

　　　　1）手工分配地址：由管理员为少数特定客户端（如WWW服务器等）静态绑定固定的IP地址。通过DHCP将配置的固定IP地址分配给客户端。

　　　　2）自动分配地址：DHCP为客户端分配租期为无限长的IP地址。

　　　　3）动态分配地址：DHCP为客户端分配具有一定有效期限的IP地址，到达使用期限后，客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。

　　3、IP地址获取过程

　　　　1)   发现阶段，即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCP-DISCOVER报文。

　　　　2)   提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCP-DISCOVER报文后，根据IP地址分配的优先次序选出一个IP地址，与其他参数一起通过DHCP-OFFER报文发送给客户端。

　　　　3)   选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文，客户端只接受第一个收到的DHCP-OFFER报文，然后以广播方式发送DHCP-REQUEST报文，

　　该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

　　　　4)   确认阶段，即DHCP服务器确认IP地址的阶段。DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器会进行如下操作：如果确认将地址分配给该客户端，则返回

　　DHCP-ACK报文；否则返回DHCP-NAK报文，表明地址不能分配给该客户端。

　　　　客户端收到服务器返回的DHCP-ACK确认报文后，会以广播的方式发送免费ARP报文，探测是否有主机使用服务器分配的IP地址，如果在规定的时间内未收到回应，并且客户端上不存在与该地址同网段的其他地

　　址时，客户端才使用此地址。否则，客户端会发送DHCP-DECLINE报文给DHCP服务器，并重新申请IP地址。

　　　　如果网络中存在多个DHCP服务器，除DHCP客户端选中的服务器外，其它DHCP服务器中本次未分配出的IP地址仍可分配给其他客户端。

　　4、 IP地址的租约更新

　　　　DHCP服务器分配给客户端的IP地址具有一定的租借期限（除自动分配的IP地址），该租借期限称为租约。当租借期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，则DHCP客户端需要申请延长IP地址租约。

　　在DHCP客户端的IP地址租约期限达到一半左右时间时，DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文，以进行IP租约的更新。如果客户端可以继续使用此IP地址，则DHCP服务器回应DHCP-ACK报文，

　　通知DHCP客户端已经获得新IP租约；如果此IP地址不可以再分配给该客户端，则DHCP服务器回应DHCP-NAK报文，通知DHCP客户端不能获得新的租约。如果在租约的一半左右时间进行的续约操作失败，DHCP客户端会在租约期限

　　达到7/8时，广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上，不再赘述。

　　5、地址池的地址管理方式

　　　　静态绑定IP地址，即通过将客户端的MAC地址或客户端ID与IP地址绑定的方式，实现为特定的客户端分配特定的IP地址；

　　　　动态选择IP地址，即在地址池中指定可供分配的IP地址范围，当收到客户端的IP地址申请时，从该地址范围中动态选择IP地址，分配给该客户端。

　　6、DHCP服务器分配IP地址的优先次序

　　　　1) 与客户端MAC地址或客户端ID静态绑定的IP地址。

　　　　2) DHCP服务器记录的曾经分配给客户端的IP地址。

　　　　3) 客户端发送的DHCP-DISCOVER报文中Option 50字段指定的IP地址。Option 50为客户端请求的IP地址选项（Requested IP Address），客户端通过在DHCP-DISCOVER报文中添加该选项来指明客户端希望获取的IP地址。该选项的内容由客户端决定。

　　　　4) 按照动态分配地址选择原则，顺序查找可供分配的IP地址，选择最先找到的IP地址。

　　　　5) 如果未找到可用的IP地址，则从当前匹配地址池中依次查询租约过期、曾经发生过冲突的IP地址，如果找到则进行分配，否则将不予处理。

　　7、配置基本命令

[R2]dhcp enable                                                    启用dhcp
[R2]dhcp server ip-pool A                                          创建地址池
[R2-dhcp-pool-A]network 12.1.1.0 mask 255.255.255.0                地址池使用的网段
[R2-dhcp-pool-A]dns-list 8.8.8.8 9.9.9.9                           地址池使用的dns地址
[R2-dhcp-pool-A]gateway-list 12.1.1.254                            地址是使用的网关
[R2]int g0/0 
[R2-GigabitEthernet0/0]dhcp select server                          配置接口工作在DHCP服务器模式
[R2]dhcp server forbidden-ip 12.1.1.1 12.1.1.10                    排除地址，不分配的

[R1]int g0/0
[R1-GigabitEthernet0/0]ip address dhcp-alloc                       配置接口通过DHCP协议获取IP地址                
[R1-GigabitEthernet0/0]display int br
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
GE0/0 UP UP 12.1.1.11
GE0/1 DOWN DOWN --
GE0/2 DOWN DOWN --
GE5/0 DOWN DOWN --
GE5/1 DOWN DOWN --
GE6/0 DOWN DOWN --
GE6/1 DOWN DOWN --
InLoop0 UP UP(s) --
Loop0 UP UP(s) 1.1.1.1
[R1]display ip routing-table

Destinations : 20 Routes : 20

Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 70 0 12.1.1.254 GE0/0                               生成一条默认路由，把网关作为下一跳
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.1.1.0/24 Direct 0 0 1.1.1.1 Loop0
1.1.1.0/32 Direct 0 0 1.1.1.1 Loop0
1.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
1.1.1.255/32 Direct 0 0 1.1.1.1 Loop0
2.2.2.2/32 O_INTRA 10 1 12.1.1.2 GE0/0
3.3.3.3/32 O_INTRA 10 2 12.1.1.2 GE0/0

 二、telnet远程控制

　　1、简介

　　　　Telnet协议是TCP/IP协议家族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。

　　终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是

　　常用的远程控制Web服务器的方法。

　　2、基本命令

[R2]telnet server enable                                              启用telnet功能，华三默认是关闭的
[R2]local-user h3c                                                    创建用户
[R2-luser-manage-h3c]password simple 123456                           设置密码
[R2-luser-manage-h3c]service-type telnet                              设置用户用途
[R2]line vty 0 4                                                      去虚拟机终端线路调用（0~4）代表5个用户
[R2-line-vty0-4]authentication-mode scheme                            使用3A里面的配置的用户名和密码

三、SSH远程控制

　　1、SSH认证方式

　　　　1）password认证

　　　　利用AAA（Authentication、Authorization、Accounting，认证、授权和计费）对客户端身份进行认证。客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器；服务器将认证请求解密后

　　得到用户名和密码的明文，通过本地认证或远程认证验证用户名和密码的合法性，并返回认证成功或失败的消息。

　　　　客户端进行password认证时，如果远程认证服务器要求用户进行二次密码认证，则会在发送给服务器端的认证回应消息中携带一个提示信息，该提示信息被服务器端透传给客户端，由客户端输出并要求用户再

　　次输入一个指定类型的密码，当用户提交正确的密码并成功通过认证服务器的验证后，服务器端才会返回认证成功的消息。

　　SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。

　　　　2）publickey认证

　　　　采用数字签名的方式来认证客户端。目前，设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务

　　器端。服务器对公钥进行合法性检查，如果合法，则发送消息请求客户端的数字签名；如果不合法，则直接发送失败消息；服务器收到客户端的数字签名之后，使用客户端的公钥对其进行解密，并根据计算结果返回

　　认证成功或失败的消息。

　　　　3）password-publickey认证

　　　　对于SSH2版本的客户端，要求同时进行password和publickey两种方式的认证，且只有两种认证均通过的情况下，才认为客户端身份认证通过；对于SSH1版本的客户端，只要通过其中任意一种认证即可。

　　　　4）any认证

　　　　不指定客户端的认证方式，客户端可采用password认证或publickey认证，且只要通过其中任何一种认证即可。

　　2、配置SSH登录命令

　　　　1）开启ssh服务，创建密钥

<R2>system-view
[R2]ssh server enable                                             //开启ssh服务
[R2]public-key local create rsa                                   //创建rsa密钥
[R2]public-key local create dsa                                   //创建dsa密钥

　　　　2）配置vty虚拟接口

[R2]user-interface vty 0 4                                        //进入vty配置
[R2-line-vty0-4]authentication-mode scheme                        //设置认证模式
[R2-line-vty0-4]protocol inbound ssh                              //设置登陆协议为ssh

　　　　3）创建配置用户

[R2]local-user h3c                                                //创建用户h3c
[R2-luser-manage-h3c]password simple 123456                       //设置密码
[R2-luser-manage-h3c]service-type ssh                             //设置用户用途
[R2-luser-manage-h3c]authorization-attribute user-role level-3    //设置用户级别为3管理级
[R2-luser-manage-h3c]quit                                         //退出
<R2>save                                                          //保存
<R2>reboot                                                        //重启

 四、FTP配置

　　1、简介

　　　　FTP（File Transfer Protocol，文件传输协议）用于在FTP服务器和FTP客户端之间传输文件，是IP网络上传输文件的通用协议。

　　　　FTP协议使用TCP端口20和21进行传输。端口20用于传输数据，端口21用于传输控制消息。

　　　　设备既可以作为FTP服务器，也可以作为FTP客户端。

　　2、FTP文件传输模式

　　　　1）二进制模式，用于传输非文本文件（比如后缀名为.app、.bin和.btm的文件）；

　　　　2）ASCII码模式，用于传输文本格式的文件（比如后缀名为.txt、.bat和.cfg的文件）。

　　当设备作为FTP客户端时，用户可通过命令行指定使用的传输模式，缺省为二进制模式；当设备作为FTP服务器时，使用的传输模式由FTP客户端决定。

　　3、FTP的两种工作方式

　　　　1）主动方式（PORT）：建立数据连接时由FTP服务器发起连接请求，当FTP客户端处于防火墙后时不适用（如FTP客户端处于私网内）。

　　　　2）被动方式（PASV）：建立数据连接时由FTP客户端发起连接请求，当FTP服务器限制客户端连接其高位端口（一般情况下大于1024）时不适用。

　　是否使用被动方式由FTP客户端程序决定，不同FTP客户端软件对FTP工作方式的支持情况可能不同，请在使用时以软件的实际情况为准。

　　4、配置FTP服务器的认证和授权

　　　　只有认证通过并授权成功的用户，才能通过FTP访问设备上的指定路径。

　　　　设备对FTP客户端的认证，有以下两种方式：

　　　　　　本地认证：设备作为认证服务器，在本设备上验证FTP客户端的用户名和密码是否合法。

　　　　　　远程认证：远程认证是指设备将用户输入的用户名/密码发送给远端的认证服务器，由认证服务器来验证用户名/密码是否匹配。

　　　　设备对FTP客户端的授权，有以下两种方式：

　　　　　　本地授权：设备给FTP客户端授权，指定FTP客户端可以使用设备上的某个路径。

　　　　　　远程授权：远程服务器给FTP客户端授权，指定FTP客户端可以使用设备上的某个路径。

　　5、基本配置命令

<R2>system-view
[R2]local-user aa class manage                                             创建用户
[R2-luser-manage-aa]password simple 123                                    设置密码
[R2-luser-manage-aa]service-type ftp                                       设置用户用途
[R2-luser-manage-aa]authorization-attribute work-directory flash:/         设置用户工作目录
[R2-luser-manage-aa]authorization-attribute user-role network-admin        设置用户权限
[R2]ftp server enable                                                      开启ftp服务
<R2>rename startup.cfg cc                                                  重命名
<R2>copy startup.cfg bbb                                                   复制文件
ftp> get cc                                                                下载文件
ftp> put cc                                                                上传文件

　　6、win以文件方式访问，在文件地址栏输入ip即可