InternetControlMessagesProtocol因特網(wǎng)控制報文協(xié)議，經(jīng)常被認為是IP層的一個組成部分。它傳遞差錯報文以及其他需要注意的信息。ICMP報文通常被IP層或更協(xié)議（TCP或UDP）使用。一些ICMP報文把差錯報文返回給用戶?！靖碌刂贰? TCP/IPNANPIEH3CHW運維方向必備企業(yè)實戰(zhàn)課程系列思科H3C路由器交換機無線 郵件訂 type為8Code為0，那么這個為ICMPEchorequest如果Type為0Code0那么就為ICMP的reply窗口，它用于這個標(biāo)識這個Request與Reply到低屬于第一個窗口，還是第二個窗口SequenceNumber：2個字節(jié)：用于對應(yīng)請求與響應(yīng)：比如，都知道一個，在cisco路由器上會發(fā)送5個，那么第一個RequestSequencenumber為1，如果收到了關(guān)于第一個Request的回應(yīng)，那么這個reply的Sequencenumber也為1，如果丟失了，那么就沒有響應(yīng)。(cc 郵件訂 R1--------------------R2，測試R1發(fā)送兩次包，得到的抓包結(jié)可以從id=0x0001,Seq=1/256 發(fā)現(xiàn)Requset與reply都為1，第二個Requset為2，reply也為2那么展開看看Identifier的標(biāo)識,都顯示為1，開始發(fā)送第二個抓包結(jié)果，Id=0x0003Identifier數(shù)據(jù)中通常Requset與reply是不同的，它們依靠這個計算出源到達目往返使用的時間。 郵件訂 ICMP另外一個重大的作用是，當(dāng)一個應(yīng)用程序出現(xiàn)某些錯誤或者不可達的信息時候，會返回一個ICMP差錯報文，用于告訴源這個錯誤的信息，如果在開發(fā)程序的時候，調(diào)用了這個機制，那么當(dāng)收到這個錯誤信息，提交給應(yīng)用程序的時候，這個程序會自動斷開服務(wù)，并且報錯，比如我 net，如果被ACL了，會顯示一個ICMP錯誤信息，提示Destinationunreachable;gatewayorhostdown，這對故障排錯是很有作用的。 以太 IP首 ICMP首 IP首 |8字節(jié)差錯數(shù)據(jù)當(dāng)發(fā)送一份ICMP差錯報文文始終包含IP的首部和產(chǎn)生ICMP差錯報文的IP數(shù)據(jù)包的前88（TCPUDP，會標(biāo)識它的源目端口號TCP還會有序列號）由于告訴源的應(yīng)用程序然后由這個應(yīng)用程序發(fā)送差錯提示R1-----------R2------------R3R3ACLR1R1netR3，返回了一個ICMP錯誤消息IP首部在內(nèi)，就是TCPR3）3，code13第二個IP首部，標(biāo)識了這個 net的發(fā)起端為誰，（這里為R1）并且標(biāo)識了因為什么協(xié)議產(chǎn)生 郵件訂 能立即停止服務(wù)并且報錯，如果，沒有這個機制，那么就會一直發(fā)送請求。比如TFTP，它是不會識別這種差錯報文，所以通常在做TFTP升級IOS或者配置的時候，由于沒打開TFTP軟件，服務(wù)器發(fā)送了差錯報文，但是TFTP識別不了，就會一直在請求當(dāng)中。這對排錯也非常邊界網(wǎng)絡(luò)關(guān)閉，因為對于外部的流量，沒必要回答這個消息，浪費路由器資源，通過noipunreachables(cc debugipicmp的，因為路徑記錄只能記錄9個地址的存在，并且包括來回，并不適應(yīng)現(xiàn)網(wǎng)絡(luò)的環(huán)境，而Tracerouter利用TTL，來達到路徑記錄的特效Tracerouter的原理：在Tracerouter一個目的的時候，源端會發(fā)送3個大于30000端口的UDPTTL=1TTL0，而丟棄這個數(shù)據(jù)包，并返回一個ICMPTTLexceeded330000UDP文，TTL=2，當(dāng)傳達到第二個路由器的時候，把TTL置0，丟棄這個數(shù)據(jù)，并返回ICMPTTLexceededUDPTTL=3，這樣直到到達目的地，當(dāng)目的主機收到以后，發(fā)現(xiàn)是給自己的數(shù)據(jù)包，發(fā)現(xiàn)自己并沒有打開關(guān)于這個UDP端的服務(wù)，的ICMP消息，從而實現(xiàn)路徑記錄的功能，因為回顯錯誤信息中，都包含了它們的地址。 R3R1TracerouterR326UDPTTLexceeded，而最后一個是Destination如果能從DNS解析到它們的名字，那么它們就會顯示出來經(jīng)過路由器的名字。 有些OS的實現(xiàn)可能不同，比如微軟基于TTL值來測試的(cc MTU，避免不必要的分片，特別是UDP的數(shù)據(jù)，最容易造成分片，TCP由于有流量控制與MSS機 在加密的情況下，使用ESP、tunnelMode、GRE、等協(xié)議，還會產(chǎn)生新的頭部，往往會超過IPMTU1500，至于為1500， 郵件訂 上5、已經(jīng)分片的數(shù)據(jù)包有可能再次進行分片（可能不只一次6IPIP是IP首部中有足夠的信息讓ICMP、TCPUDPICMP、TCPUDP8、IP層本身沒有超時重傳機制————它必須依靠來提供可靠性（TCP有超時和片丟失后，TCP在超時后會重新發(fā)送整個TCP2000TCP會發(fā)送重傳機制，但是重傳的是整個數(shù)據(jù)包，因為TCP是需要對整個數(shù)據(jù)包最確認，而不是分片，而且分片對于TCP和UDP是透明的。由于以太網(wǎng)EthernetII最大的數(shù)據(jù)幀是1518Bytes，除去以太網(wǎng)幀的幀頭（DMAC目的MAC地址48bit=6Bytes+SMAC源MAC地址48bit=6Bytes+Type域2bytes）14Bytes和幀尾CRC校驗部分4Bytes（這個部份有時候大家也把它叫做FCS），那么剩下承載上層協(xié)議的地方也就是Data域最大就只能有1500Bytes，這個值就把它稱之為MTU，也就是指IPMTU。MTUIP否把上層傳下來的數(shù)據(jù)進行分片。就好比一個盒子沒法裝下一大塊面包，需要把面包切成器和各種各樣的網(wǎng)絡(luò)媒介才能到達對端，網(wǎng)絡(luò)中不同媒介的MTU各不相同，就好比一長段的水管，由不同粗細的水管組成（MTU不同）通過這段水管最大水量就要由中間最細的水管決定。比如一個數(shù)據(jù)包為1501，如下圖 郵件訂 郵件訂 UDPIP樣，如果中間經(jīng)過了PAT的設(shè)備或者，很有可能造成丟失，而分片的丟失，代表整個數(shù)據(jù)包全部丟棄，UDP沒有重傳機制。R1---------R2------------R3，這里我把R2的出接口MTU改為200，我用R1大小10001000100020IPICMP8字節(jié)的首部，那么數(shù)據(jù)部分因該是972，先看下未分片之前的抓包。Data為為什么分片的數(shù)據(jù)部分只有176呢，加上20字節(jié)的首部也并沒有達到接口的200，那是分片中有一個規(guī)定在分片的時候，除最后一片外，其他每一片中的數(shù)據(jù)部分（IP首部外的最后一個分片）必須是8字節(jié)的整數(shù)倍。所以這里為176，而不是180.TCPUDPICMP頭部，但這個并沒有顯示，直接顯示數(shù)據(jù)大小為176，實際因該是168+ICMP8字節(jié)頭部。 這里5個分片數(shù)據(jù)部分都為176，所以176*5=880，而實際數(shù)據(jù)部分是972+ICMP8字980，所以最后一個分片的數(shù)據(jù)部分是980-的中出口接口最小的MTU，因為MTUMTUMTU在一般的路由器上都有這樣的功能。路徑MTU發(fā)現(xiàn)機制，這對實施 環(huán)境還是之前R1--------R2---------R3R2出接口MTU為200，R1的時候，把DF位置 郵件訂 MTUofnexthop:200，這對于一個的網(wǎng)絡(luò)是很有幫助的，通常我遇到的朋友在實施的時候，說流量大的時候性能非常不好，速度非常慢，而且會有時候丟包，這大部分原因是因為分片造成的，的加本來就很消耗路由器的資源，加上對分片的處理，情況下，分片也會加密，而且對于PAT的穿越性很不好，所以造能下降。這個是通過debug顯示不出來的，但是cisco路由器上可以通過擴展來實現(xiàn)，而且更直R1-------R2---------R3這里我把R2MTU500R1這里的注意是DF位置位，并且使用路徑記錄，設(shè)置包大小的范圍，我這里從100開始到700，間隔100，也是每次發(fā)100大小的包測試。Rl嚇i119i于打Qer:F.3ddre352:．11.RepeatC?)l_,flt[5]:1D.?.tagr·an·si廷[1m]勹飛嘰 ir勹sec叨怎[2JExtendeclco,訂'.3.17主[n]:5Ol汀Ce.3ddr.e55國1Ite,I-face飛·,f芷,Jfser-\,ice注tDF in二F匠忒 ：Dat2patter-n[（心趴D]:｀立己Str·ict.Rec,Jr·d,門戶笆t忒p,\·，婦沁e[mre]：閃L,1, ufImp5[9]L亡11=15e,5tr1ct,R砍I:,rd｀了1＇飛．藝t31“P.verbo5eP.'J沁鈺F,rarg七l:1f51Z邑[n]:沁eep,“7r-157Z它-[6]：1沁泛ep心xsize[1.S氣4：-沁鈕plrlt勺｀，,11[lj: 郵件訂 沒超過MTU之前都有路徑記錄，并且數(shù)據(jù)包通過了，當(dāng)在600的時候，由于超出了MTU的范圍，需要分片，而我又把DF置位了，它就會提示 umMTU500，就是表示到達目的的MTU最大為500.所以，特別在做實施的時候，不要認為隧道建立了，流量能通過了就代表完善了，一定要注意MTU的范圍，這個可以通過IP頭部+其他頭部信息計算可以得出來。 郵件訂 IP對于網(wǎng)絡(luò)層的上層協(xié)議而言（以TCP/IP協(xié)議族為例），網(wǎng)絡(luò)層IP協(xié)議會檢查每個從上層協(xié)議MTU現(xiàn)中往往會對此加以注意！有些因為某些原因就會要求我這個面包不能切片，我要完整地面包，所以會在IP數(shù)據(jù)頭里面加上一個：DF（DonotFragment）。這樣當(dāng)這個IP數(shù)據(jù)包在一大這個數(shù)據(jù)包，然后返回一個錯誤信息給發(fā)送者。這樣往往會造成某些通訊上的問題，不過幸運的是大部分網(wǎng)絡(luò)鏈路MTU都是等于1500或者大于1500。UDPTCPTCPTCP應(yīng)用對分片有要求---不能分片（DF）。2、 郵件訂 1-1TCP注：URG等參數(shù)指的是ACKURGPSHSINFINRST在TCP報文中MSSRFC1323RFC793種，MSSkind=2kind=1kind=4、5、6、7ACK及回顯選項，但是由于回顯選項已經(jīng)被時間戳選項取代，同時，目前定義的選擇ACK選項仍未定論，也沒有包括在RFC1323中，所以具體代表什么含義還無定論。在實際網(wǎng)絡(luò)數(shù)據(jù)傳輸，要求MSS+20TCP包頭+20IP包頭不大于MTU。MSS在TCP報文中是可選項，不是必選項，換句話說，MSS是可協(xié)商項，而且在協(xié)商過后，該選項內(nèi)容可以改變，也可以沒有；在協(xié)商MSS時，一MSS就是TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段。為了達到最佳的傳輸效能，TCP協(xié)議在建立連MSSTCPMTU（需要減去IP數(shù)據(jù)頭的大小20Bytes和TCP數(shù)據(jù)段的包頭20Bytes），所以往往MSS為1460。通訊雙方會根據(jù)雙方提供的MSS值得最小值確定為這次連接的最大MSS值。由前面的敘述可知：MTUmtu1500（它是不包含二層頭部的，加上頭部應(yīng)該為1518bytes），當(dāng)然這里說的是很常規(guī)的情況，也有些server，比如server2008，出來的就是jumboframe了，在這里常規(guī)情況。IPMTU是一個三層概念，它包含MTU的變化范圍很大（68-65535），但也不得不照顧以太網(wǎng)MTU的限制,說白了就是ip對以太網(wǎng)的妥協(xié)。MSS是TCP里面的一個概念，它是TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段，不包含包頭部分，它與IPMTU滿足如下關(guān)系：IPMTU=MSS+20bytes（IP包頭）+20bytes（TCP包頭）。當(dāng)然，如果傳輸?shù)臅r候還承載有其他協(xié)議，還要加些包頭面，簡言之，mtu就是總的最后發(fā)出去的報文大小，MSSPPPoEPPP議（點到點連接協(xié)議），它包括6bytesPPPoE2bytesPPPID太網(wǎng)的MTU值為1500，所以上層PPP負載數(shù)據(jù)過1492字節(jié)，也