網(wǎng)絡(luò)層的故障診斷與維護(hù)第一頁，共五十八頁。要點(diǎn)內(nèi)容網(wǎng)絡(luò)層的協(xié)議；網(wǎng)絡(luò)層的故障現(xiàn)象；網(wǎng)絡(luò)層故障的診斷及排除方法；數(shù)據(jù)包的結(jié)構(gòu)及sniffer的使用。第二頁，共五十八頁。

1.1網(wǎng)絡(luò)層的功能

1.1.1網(wǎng)絡(luò)層功能概述應(yīng)用層Application表示層Presentation會(huì)話層Session傳輸層Transport網(wǎng)絡(luò)層Network數(shù)據(jù)鏈路層DataLink物理層Physical

網(wǎng)絡(luò)層是OSI參考模型的第三層（如圖5-1），是涉及網(wǎng)絡(luò)配置工作最多的地方，主要解決網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的通信的問題。其中包含了分配網(wǎng)絡(luò)地址與子網(wǎng)掩碼、添加默認(rèn)網(wǎng)關(guān)與域名服務(wù)器、安裝和配置路由器。當(dāng)然,網(wǎng)絡(luò)層也是網(wǎng)絡(luò)配置中,易于出錯(cuò)的層。在一個(gè)巨大的互聯(lián)網(wǎng)絡(luò)中,維護(hù)人員大量的時(shí)間被用于解決此層中發(fā)生的問題。應(yīng)用層Application表示層Presentation會(huì)話層Session傳輸層Transport網(wǎng)絡(luò)層Network數(shù)據(jù)鏈路層DataLink物理層Physical

圖1網(wǎng)絡(luò)層的位置第三頁，共五十八頁。

1.1網(wǎng)絡(luò)層的功能

對網(wǎng)絡(luò)層的支持所涉及到的任務(wù)并不是非常多,但是,必須完全掌握網(wǎng)絡(luò)層功能,才能有效維護(hù)此層的網(wǎng)絡(luò)故障并解決故障。網(wǎng)絡(luò)層處理邏輯地址，正是利用這些地址,網(wǎng)絡(luò)協(xié)議才能有效地將數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)。對網(wǎng)絡(luò)層的分析分為3個(gè)部分:定義邏輯地址,提供路由選擇,處理無連接數(shù)據(jù)包傳輸。1.1.2定義邏輯地址邏輯地址是指配置給設(shè)備的地址,它工作在網(wǎng)絡(luò)層,提供了網(wǎng)絡(luò)與主機(jī)的信息。邏輯地址并不像數(shù)據(jù)鏈路層定義的熱物理地址那樣可以表現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)。對于一個(gè)網(wǎng)絡(luò)協(xié)議,為了將數(shù)據(jù)從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò),必需利用兩部分邏輯地址:一部分用來識(shí)別網(wǎng)絡(luò),另一部分用來標(biāo)識(shí)主機(jī)。大量網(wǎng)絡(luò)協(xié)議都采取這樣的方式來利用邏輯地址。舉例來說,TCP/IP,IPX/SPX.,以及AppleTalk協(xié)議都符合此項(xiàng)要求,而NetBUEI和DLC(數(shù)據(jù)鏈路控制)則不能滿足此項(xiàng)要求。第四頁，共五十八頁。1.1網(wǎng)絡(luò)層的功能邏輯地址必需包含網(wǎng)絡(luò)部分與主機(jī)部分。這樣,一個(gè)巨大的、包含有上千臺(tái)主機(jī)(公司內(nèi))甚至于上百萬臺(tái)主機(jī)(互聯(lián)網(wǎng))的網(wǎng)絡(luò)才能被構(gòu)造起來,并且可以迅速定位其中的每一臺(tái)主機(jī)。路由器首先找到主機(jī)所在的網(wǎng)絡(luò),然后南確定單獨(dú)的主機(jī)地址。找到這個(gè)網(wǎng)絡(luò)以后,在那個(gè)網(wǎng)絡(luò)中的一臺(tái)路由器將通過將邏輯地址與數(shù)據(jù)鏈路層的物理地址映射,從而找到這個(gè)獨(dú)產(chǎn)的主機(jī)。數(shù)據(jù)包到達(dá)正確的網(wǎng)絡(luò)以后,不同的協(xié)議將采用不同的方式來將主機(jī)邏輯地址映射為物理地址。TCP/IP采用的方式則是利用地址解析協(xié)議(ARP)。網(wǎng)絡(luò)層中最復(fù)雜的一個(gè)方面是決定數(shù)據(jù)包在傳送到目的地時(shí),所經(jīng)過的網(wǎng)絡(luò)最佳路徑。1.1.3互聯(lián)網(wǎng)絡(luò)中路徑的選擇如果從一端到另一端只存在一條路徑,那么網(wǎng)絡(luò)層的工作將變得非常單純。但是,正如國家中復(fù)雜的道路系統(tǒng)一樣,在大多數(shù)大型網(wǎng)絡(luò)里,都存在有多條從位置A到位置B的路徑。而且,并不總是有一個(gè)明確的結(jié)論,來選擇應(yīng)該遵從哪一條路徑。有一些線路上業(yè)務(wù)量很繁重,而另一些線路上業(yè)務(wù)量很少;有一些正在進(jìn)行建設(shè)或出現(xiàn)了故障,而有一些則運(yùn)行通暢。網(wǎng)絡(luò)層,利用路由協(xié)議,可以選擇到達(dá)目地的最佳路徑。如果有一條原來通暢的線路變得擁塞甚至不可利用,那么就需要選定一條備用的線路。路由協(xié)議信賴于包含有主機(jī)標(biāo)號(hào)域與網(wǎng)絡(luò)標(biāo)號(hào)域的邏第五頁，共五十八頁。1.1網(wǎng)絡(luò)層的功能輯地址。具有此樣邏輯尋址方案的協(xié)議則被稱為路由協(xié)議或可路由協(xié)議。在本章以后討論路由器時(shí),我們將仔細(xì)討論如何配置路由協(xié)議,以及如何監(jiān)測有問題的領(lǐng)域。若想將數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)有效地傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò),網(wǎng)絡(luò)層需要完成很多工作。提高效率的關(guān)鍵是減少開銷。換句話說,網(wǎng)絡(luò)層有特定的工作需要去完成,而可靠性,流量控制等事務(wù),則留給其他層去實(shí)現(xiàn)。1.1.4無連接數(shù)據(jù)包的傳輸網(wǎng)絡(luò)層依靠于OSI模型中更高的幾層來提供高級(jí)功能,如可靠性與流量控制。網(wǎng)絡(luò)層的工作是將數(shù)據(jù)包Y從源所在的網(wǎng)絡(luò)傳輸?shù)侥康乃诘木W(wǎng)絡(luò),而不考慮是否有數(shù)據(jù)包X或數(shù)據(jù)包Z也要到達(dá)同一目的地址。實(shí)際上,當(dāng)一個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)層組成部分沿著數(shù)據(jù)包前往目地的路徑將數(shù)據(jù)包傳送給另一個(gè)網(wǎng)絡(luò)以后,無法確認(rèn)數(shù)據(jù)包是否安全到達(dá)。這樣一種方式被稱為無連接通信。無連接通信中,從源到目的地并沒有建立一條連接。網(wǎng)絡(luò)層協(xié)議依賴于信用(或上層協(xié)議)來保證數(shù)據(jù)包傳輸?shù)陌踩?。此系統(tǒng)與利用美國郵政寄送交第一類信件非常相似。將信件放入郵箱中,希望可以傳送到目的地。通常情況下,正是如此。但若想要確認(rèn)信被收到了(或被告知信沒有被收到),就必須在信件上加一層附件(同時(shí),花費(fèi)第六頁，共五十八頁。1.1網(wǎng)絡(luò)層的功能少理美元)并發(fā)送一封確信信。確認(rèn)信要求接收者做出一個(gè)回應(yīng),接受的回執(zhí)被送回發(fā)送者。1.1.5網(wǎng)絡(luò)層的主要功能1)過路由選擇算法，為分組通過通信子網(wǎng)選擇最適當(dāng)?shù)穆窂剑?)網(wǎng)絡(luò)層使用數(shù)據(jù)鏈路層的服務(wù)；3)實(shí)現(xiàn)路由選擇、擁塞控制與網(wǎng)絡(luò)互聯(lián)等基本功能；4)向傳輸層的端一端傳輸連接提供服務(wù)；第七頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件網(wǎng)絡(luò)層中，路由器對該層非常重要。它們利用網(wǎng)絡(luò)層中定義的邏輯地址來決定如何在網(wǎng)絡(luò)通信中更有效地傳輸數(shù)據(jù)信息。協(xié)議則是網(wǎng)絡(luò)層必不可少的，他們定義的傳輸?shù)恼Z法和規(guī)則。1.2.1網(wǎng)絡(luò)協(xié)議一臺(tái)計(jì)算機(jī)只有在遵守網(wǎng)絡(luò)協(xié)議的前提下，才能在網(wǎng)絡(luò)上與其他計(jì)算機(jī)進(jìn)行正常的通信。盡管在網(wǎng)絡(luò)中,物理層是基礎(chǔ),但工作在網(wǎng)絡(luò)層的協(xié)議則是網(wǎng)絡(luò)的核心成份。大多數(shù)協(xié)議以簇的形式出現(xiàn),將一系列函數(shù)整合成為一個(gè)協(xié)議進(jìn)行安裝。例如:TCP/IP包括IP網(wǎng)絡(luò)層協(xié)議,TCP與UDP傳輸層協(xié)議。當(dāng)然還包含一個(gè)應(yīng)用程序與問題解決的工具包,如工具。IPX/SPX帶有IPX網(wǎng)絡(luò)層協(xié)議,SPX傳輸層協(xié)議,以及NETWERE核心協(xié)議(NCP)。NCp處理了一些傳輸層以及上層的功能。NETBEUI則是一個(gè)輕量級(jí)的協(xié)議,它只在傳輸層與會(huì)話層上工作。盡管可以選擇很多網(wǎng)絡(luò)協(xié)議,但應(yīng)用最普遍的網(wǎng)絡(luò)協(xié)議則是TCP/IP。

第八頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件1.2.2路由器將數(shù)據(jù)發(fā)送到它的目的地如果沒有路由器在網(wǎng)絡(luò)層中的努力工作,我們將不會(huì)擁有像互聯(lián)網(wǎng)這樣的豐富資源。想象一個(gè)郵政系統(tǒng),其中我們的信件只有街道地址。沒有城市,州和郵政編碼。這樣一個(gè)系統(tǒng)所造成的絕望狀況,便是對于大的網(wǎng)絡(luò),如果沒有路由器所產(chǎn)生的后果。路由器,與包含有邏輯地址的協(xié)議一起,為巨大的互聯(lián)網(wǎng)提供了一些有序性與結(jié)構(gòu)。路由器的責(zé)任是接收一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包,判斷目的地址的所在地網(wǎng)絡(luò)標(biāo)號(hào),并將數(shù)據(jù)包發(fā)送到目的地所在地網(wǎng)絡(luò)。如果收到數(shù)據(jù)包的路由器正好連接目的地所在的網(wǎng)絡(luò),路由器將把數(shù)據(jù)包發(fā)送給目標(biāo)主機(jī)。在只有少數(shù)幾個(gè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)中,這并不是一個(gè)復(fù)雜的工作。但對于一個(gè)具有成千上萬網(wǎng)絡(luò)的互聯(lián)網(wǎng)來說,正確地配置路由器,選擇路由協(xié)議,實(shí)現(xiàn)安全機(jī)制則是一個(gè)非常值得掌握的技能。1.2.3通過互聯(lián)網(wǎng)協(xié)議來支持TCP/IP第九頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

應(yīng)用層應(yīng)用層數(shù)據(jù)段表示層會(huì)話層傳輸層傳輸層數(shù)據(jù)包網(wǎng)絡(luò)層網(wǎng)絡(luò)互連層數(shù)據(jù)幀數(shù)據(jù)鏈路層主機(jī)到網(wǎng)絡(luò)層比特物理層圖2OSI與TCP/IP模型的對應(yīng)關(guān)系第十頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

TCP/IP協(xié)議簇包含了很多組成部分,并且覆蓋了OSI模型中最上面的5層。在圖5-2中，展示了TCP/IP協(xié)議簇與OSI模型的對應(yīng)關(guān)系。注意,網(wǎng)絡(luò)接口層對應(yīng)于OSI模型中的數(shù)據(jù)鏈路層與物理層。TCP/IP并沒有任何協(xié)議或組成部分應(yīng)用于這兩層。但是只要使用了合適的數(shù)據(jù)鏈路驅(qū)動(dòng)程序,TCP/IP卻可以按物理層和數(shù)據(jù)鏈路層規(guī)范工作。1.網(wǎng)絡(luò)層的協(xié)議IP全球大量的信息與錯(cuò)誤信息的集合被稱為互聯(lián)網(wǎng)。這是按現(xiàn)今普遍運(yùn)用的網(wǎng)絡(luò)協(xié)議,網(wǎng)際協(xié)議(IP)來命名的。支持IP的關(guān)鍵是理解尋址機(jī)制。理解了尋址機(jī)制以后,對于網(wǎng)絡(luò)主機(jī)和路由器的操作與支持將變得比較容易。1）IP尋址IP地址上一個(gè)32比特的數(shù)字,以八比特一組,稱為字節(jié)的方式分成4組。每一個(gè)字節(jié)都可能包含一個(gè)從0到255的值。通常,IP地址寫成有圓點(diǎn)間隔的,十進(jìn)制的形式。盡管可能會(huì)經(jīng)常碰到需要采用16進(jìn)制的應(yīng)用程序。一個(gè)典型的IP地址可能像這樣:

其中,192是第1個(gè)字節(jié),1是第4個(gè)字節(jié)。第十一頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件每一個(gè)IP地址中包含了網(wǎng)絡(luò)標(biāo)號(hào)與主機(jī)標(biāo)號(hào)。也就是說,32比特?cái)?shù)據(jù)中,有一些描述了在哪個(gè)網(wǎng)絡(luò)中,可以發(fā)現(xiàn)主機(jī)。地址中剩余的比特則確定了網(wǎng)絡(luò)中的特定計(jì)算機(jī)或設(shè)備。對一臺(tái)主機(jī)可以配置3類IP地址,分別是A,B,C類。一個(gè)特定的IP地址所屬于的類是由地址的第1個(gè)字節(jié)來決定的。注意:也存在等級(jí)D和等級(jí)E的IP地址。等級(jí)D的地址第一個(gè)字節(jié)的值在224—239之間,此地址用來做廣播發(fā)送。等級(jí)E的地址第一個(gè)字節(jié)的值在240—255之間,被保留以用作測試。如下表：

第十二頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

類型網(wǎng)絡(luò)比特/字節(jié)的數(shù)量默認(rèn)子網(wǎng)掩碼A8/1B16/2C24/3表5-1不同類型的地址中的網(wǎng)絡(luò)比特與默認(rèn)掩碼地址的類別確定了用來描述網(wǎng)絡(luò)序列號(hào)的比特?cái)?shù),剩余的比特確定了主機(jī)。網(wǎng)絡(luò)比特總是從第一個(gè)字節(jié)開始的。表5-1展示了這種關(guān)系。2）子網(wǎng)與子網(wǎng)掩碼子網(wǎng)是將一個(gè)特定的類網(wǎng)分解成更多的網(wǎng)絡(luò)。子網(wǎng)掩碼決定了IP地址中哪些是網(wǎng)絡(luò)的部分,哪些是主機(jī)的部分。子網(wǎng)掩碼被稱為掩碼,是因?yàn)樗ㄟ^將子網(wǎng)掩碼與IP地址邏輯與隱藏了?；蛘咂帘瘟酥鳈C(jī)的地址。主機(jī)使用子網(wǎng)掩碼以及配置的IP地址,來確認(rèn)它自己的網(wǎng)絡(luò)。路由器利用掩碼與收到的包的目的地址決定數(shù)據(jù)包所要發(fā)送到的網(wǎng)絡(luò)。第十三頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

注意:必須一直使用子網(wǎng)掩碼。子網(wǎng)掩碼是IP地址的同伴。兩者皆不可單獨(dú)存在,因此當(dāng)您配置一個(gè)時(shí),必須配置另外一個(gè)。3）IP主機(jī)的配置IP地址配置的一條規(guī)則便是所有同一個(gè)物理網(wǎng)絡(luò)中的主機(jī)必須包含相同的網(wǎng)絡(luò)號(hào)。因?yàn)橐粋€(gè)IP地址的設(shè)置離不開子網(wǎng)掩碼，上面的規(guī)則暗示了主機(jī)也必須具有相同子網(wǎng)掩碼。圖5-3形象地表示同一個(gè)物理網(wǎng)絡(luò)所表示的具體含義。圖中，每一個(gè)圓圈表示一個(gè)單獨(dú)的物理網(wǎng)絡(luò)。大體上，一個(gè)單獨(dú)的物理網(wǎng)絡(luò)可以是網(wǎng)絡(luò)的任何一部分。它與網(wǎng)絡(luò)的其他部分通過一個(gè)路由器接口相連。每一個(gè)物理網(wǎng)絡(luò)的路由器接口必須配置一個(gè)地址，此地址與在網(wǎng)絡(luò)中的主機(jī)網(wǎng)絡(luò)號(hào)相同。除了一個(gè)IP地址和子網(wǎng)掩碼，大多數(shù)主機(jī)配置同樣需要一個(gè)默認(rèn)網(wǎng)關(guān)地址。默認(rèn)網(wǎng)關(guān)，通常是指路由器的地址。當(dāng)網(wǎng)絡(luò)中的主機(jī)發(fā)送數(shù)據(jù)包時(shí)，如果數(shù)據(jù)包的目的地址不在同一個(gè)網(wǎng)絡(luò)中，數(shù)據(jù)將傳送給這個(gè)設(shè)備，第十四頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

圖3通過路由器連接的3個(gè)物理網(wǎng)絡(luò)第十五頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件當(dāng)一個(gè)主機(jī)要將一個(gè)數(shù)據(jù)包發(fā)送出去時(shí)，主機(jī)將目的IP地址與子網(wǎng)掩碼進(jìn)行邏輯AND操作。如果獲得的網(wǎng)絡(luò)號(hào)與主機(jī)的網(wǎng)絡(luò)號(hào)不同，數(shù)據(jù)包將發(fā)送到默認(rèn)網(wǎng)關(guān)，希望默認(rèn)網(wǎng)關(guān)可以發(fā)現(xiàn)目的所在的網(wǎng)絡(luò)。由于默認(rèn)網(wǎng)關(guān)被用來確定不同網(wǎng)絡(luò)中的主機(jī)，因此，它必須具有與發(fā)送設(shè)備相同的網(wǎng)絡(luò)號(hào)。主機(jī)設(shè)置中經(jīng)常發(fā)生的一個(gè)問題是設(shè)置了錯(cuò)誤的子網(wǎng)掩碼。設(shè)想在一個(gè)物理網(wǎng)絡(luò)中，存在兩臺(tái)微機(jī)。計(jì)算機(jī)A具有IP地址4，子網(wǎng)掩碼24。計(jì)算機(jī)B具有地址0，子網(wǎng)掩碼。如果計(jì)算機(jī)A試圖PING計(jì)算機(jī)B，將會(huì)發(fā)生如下情況：計(jì)算機(jī)A將目的地址0與子網(wǎng)掩碼24邏輯AND，得到網(wǎng)絡(luò)號(hào)為2。因?yàn)橛?jì)算機(jī)A存在于2這個(gè)網(wǎng)絡(luò)中，計(jì)算機(jī)A將發(fā)送一個(gè)ARP的廣播來找到計(jì)算機(jī)B的MAC地址，從現(xiàn)象上看，PING將得到回應(yīng)，同沒有設(shè)置錯(cuò)誤的情形一樣。設(shè)想網(wǎng)絡(luò)中有一臺(tái)計(jì)算機(jī)C,地址為37，子網(wǎng)掩碼。如果計(jì)算機(jī)A試圖PING計(jì)算機(jī)C，將會(huì)發(fā)生如下情況：計(jì)算機(jī)A將7與計(jì)算機(jī)自己的子網(wǎng)掩碼24邏輯與。在這種情況下，得到的網(wǎng)絡(luò)號(hào)為4。計(jì)算機(jī)A第十六頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

判斷此地址在另一個(gè)網(wǎng)絡(luò)中，就會(huì)錯(cuò)誤地將數(shù)據(jù)發(fā)送到它的默認(rèn)網(wǎng)關(guān)。這種情況的故障很難排除。配置IP地址時(shí)，對配置進(jìn)行再多的檢查也不過分：拼寫錯(cuò)誤經(jīng)常是配置錯(cuò)誤的一個(gè)主要原因。正如前面的例子所表示的，不可能簡單地確認(rèn)一個(gè)工作站可以同別的計(jì)算機(jī)之間可以正常通信。2.IP協(xié)議簇TCP/IP包含有一些網(wǎng)絡(luò)層協(xié)議，通常共用一個(gè)名字：IP。兩個(gè)協(xié)議――ICMP和ARP需要另外的討論，因?yàn)樗鼈冊诮鉀Q問題的過程中會(huì)有用。另外IP協(xié)議簇還包括傳輸層協(xié)議TCP。注意：有很多和IP相關(guān)的協(xié)議，其中的大部分被封裝在IP報(bào)頭中。1）ICMP:Ping和Trace協(xié)議IP環(huán)境下，ICMP被用來傳送狀態(tài)與控制消息。通過使用PING命令用于驗(yàn)證與一個(gè)特定主機(jī)之間的通信能力（如下圖）。路由器也用此命令來發(fā)送狀態(tài)消息以獲得目的主機(jī)或網(wǎng)絡(luò)的可用信息。第十七頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

圖5-4PING命令回送響應(yīng)消息報(bào)文Trace命令同樣利用ICMP，盡管與Ping命令有些不同。ICMP被封裝在IP協(xié)議里，這意味著它被包含在IP報(bào)頭中。如果利用協(xié)議分析儀來捕獲所有的IP數(shù)據(jù)包，可以捕獲到相應(yīng)的ICMP包。ICMP具有很多功能，但大多數(shù)人所知道的是ICMPEcho與ICMPReply。這些消息通過一個(gè)PING命令發(fā)出，并被PING的目標(biāo)返回。從結(jié)構(gòu)上說，ICMP消息有如圖5-5所描寫的形式。第十八頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

數(shù)據(jù)鏈路報(bào)頭IP報(bào)頭ICMP報(bào)頭ICMP數(shù)據(jù)FCS圖5-5ICMP消息格式正如數(shù)據(jù)鏈路報(bào)頭包含著網(wǎng)絡(luò)層報(bào)頭（在此，為IP報(bào)頭），IP報(bào)頭也包含這ICMP報(bào)頭。這是因?yàn)镮CMP不可能單獨(dú)存在。表5-2顯示了ICMP報(bào)頭包含有3個(gè)域，共4個(gè)字節(jié)的長度。類型代碼校驗(yàn)和標(biāo)記隊(duì)列號(hào)1字節(jié)1字節(jié)2字節(jié)2字節(jié)2字節(jié)表5-2ICMP報(bào)頭三個(gè)域中最重要的是類型域。類型域通知了接受方工作站所包含的ICMP數(shù)據(jù)的類型。如果需要的話，下面的代碼域進(jìn)一步限制了類型域。舉例來說，類型域可能表示消息是一個(gè)“目的地不能到達(dá)”消息（如圖5-6）。代碼域則可以顯示更加詳細(xì)的信息，如是網(wǎng)絡(luò)不可到達(dá)還是主機(jī)或端口不可到達(dá)（表5-3列出了常用的類型與代碼域的值），還有就是超時(shí)報(bào)文（如圖5-7）第十九頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

圖6目的主機(jī)不可達(dá)報(bào)文圖7超時(shí)報(bào)文第二十頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

核驗(yàn)和域被用來保護(hù)ICMP消息。非常像CRC，核驗(yàn)和是一個(gè)通過計(jì)算消息內(nèi)，從類型域開始的數(shù)據(jù)字節(jié)得到的16比特值。它可以檢驗(yàn)可能由于交換機(jī)或路由器引起的數(shù)據(jù)損壞。標(biāo)志域和序列號(hào)域可以被用來匹配請求與回應(yīng)。在很多ICMP消息類型中，這些域?yàn)?。跟蹤序列號(hào)域的就是ICMP數(shù)據(jù)，其長度可變。對于ICMPecho請求，數(shù)據(jù)通常是一個(gè)可以確認(rèn)的模式。如字母表中的字母，還有在一些情況下為0。Windows在pingICMP請求命令中使用字母表中的字母，而在tracerouteICMP請求中使用0。2）ARP：MAC地址協(xié)議地址解析協(xié)議（ARP）在TCP/IP中，通常被認(rèn)為是一個(gè)單獨(dú)的網(wǎng)絡(luò)層協(xié)議。實(shí)際上，由于它的功能，ARP更像是存在于網(wǎng)絡(luò)層鏈路層之間的層。其協(xié)議結(jié)構(gòu)如下：第二十一頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件1632bitHardwareTypeProtocolTypeHLenPlenOperationSenderHardwareAddressSenderProtocolAddressTargetHardwareAddressTargetProtocolAddress圖8ARP協(xié)議結(jié)構(gòu)HardwareType―指定一種硬件接口類型，為發(fā)送方請求響應(yīng)所用。ProtocolType―指由發(fā)送方提供的高級(jí)協(xié)議地址類型。Hlen―硬件地址大小。Plen―協(xié)議地址大小。

第二十二頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

正如名字所暗示的那樣，ARP解析地址。當(dāng)一個(gè)特定的IP數(shù)據(jù)包達(dá)到了目的地所在的網(wǎng)絡(luò)以后，ARP被用于發(fā)現(xiàn)了IP數(shù)據(jù)包的MAC地址。在數(shù)據(jù)鏈路層的幀頭里被加入了主機(jī)的物理地址以前，一條消息不可能被傳送。如果一臺(tái)使用TCP/IP協(xié)議的計(jì)算機(jī)試圖與另一臺(tái)計(jì)算機(jī)進(jìn)行通信，它必須知道接收方的IP地址。IP地址通常是由應(yīng)用程序給出，或是通過計(jì)算機(jī)名解析來獲得。如果目標(biāo)的IP地址與源地址豐在于同一個(gè)網(wǎng)絡(luò)中，發(fā)送方計(jì)算機(jī)將以數(shù)據(jù)鏈路廣播的形式，發(fā)送ARP請求。ARP請求被廣播域中所有的主機(jī)處理，具有所需IP地址的主機(jī)將發(fā)送回一個(gè)包含本機(jī)MAC地址的ARP回應(yīng)。獲得MAC地址以后,幀頭可以組建,幀將被發(fā)送到目的地.如果計(jì)算機(jī)每一次發(fā)送IP數(shù)據(jù)包到目的地之前，都需要發(fā)送ARP廣播，那么網(wǎng)絡(luò)中對應(yīng)于每一個(gè)包含有實(shí)際數(shù)據(jù)的幀都存在一個(gè)ARP廣播幀。這將是網(wǎng)絡(luò)帶寬的巨大浪費(fèi)。為了避免每發(fā)一個(gè)IP數(shù)據(jù)包到特定的目的，都需要發(fā)送一個(gè)ARP請求，微機(jī)和其他設(shè)備將所得到的MAC地址存儲(chǔ)在ARP緩存中。這樣計(jì)算機(jī)或路由器只需要向所通信的第二十三頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

目標(biāo)主機(jī)發(fā)送一個(gè)ARP廣播即可。這解決了廣播太多的問題。不過遺憾的是，基于設(shè)備對所獲得的MAC地址的存儲(chǔ)時(shí)間，它同時(shí)引起了另一個(gè)問題的發(fā)生。讓我們來分析這個(gè)問題。首先，必須記住為動(dòng)態(tài)的實(shí)體。計(jì)算機(jī)被安裝與卸載，IP地址發(fā)生變化（尤其是當(dāng)使用動(dòng)態(tài)的IP地址配置時(shí)），NIC卡被替換或從一臺(tái)機(jī)器交換到另一臺(tái)機(jī)器，等等?？紤]到這樣一個(gè)動(dòng)態(tài)環(huán)境的復(fù)雜性。設(shè)想如果有一臺(tái)設(shè)備A試圖利用IP向設(shè)備B發(fā)送文件。設(shè)備A發(fā)送一個(gè)ARP廣播請求，而設(shè)備B則返回它的MAC地址。設(shè)備A立刻將地址存儲(chǔ)在緩存中，以備當(dāng)前及心后通信所用。在文件剛被發(fā)出之后，技術(shù)員X將設(shè)備B的NIC從10Mbps升級(jí)到100Mbps。設(shè)備A試圖發(fā)送給設(shè)備B另一個(gè)文件，但這個(gè)卻得到了超時(shí)的結(jié)果。為什么會(huì)這樣呢？當(dāng)NIC發(fā)生了改變，MAC地址也相應(yīng)發(fā)生了變化。而設(shè)備A中存儲(chǔ)的是設(shè)備B原來舊的MAC地址。第二十四頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

如果懷疑是ARP緩存的問題，那么將有如下幾個(gè)選擇。可以簡單地等待直到其中的條目被更新。我們也可以強(qiáng)制讓地址發(fā)生改變的設(shè)備與其他設(shè)備進(jìn)行通信，這樣可以導(dǎo)致條目里的內(nèi)容被新值代替。另外，也可以清空ARP緩存，這將導(dǎo)致設(shè)備重新學(xué)習(xí)地址。3.傳輸控制協(xié)議（TransmissionControlProtocol,TCP）TCP協(xié)議主為了在主機(jī)間實(shí)現(xiàn)高可靠性的包交換傳輸協(xié)議。TCP是面向連接的端到端的可靠協(xié)議。它支持多種網(wǎng)絡(luò)應(yīng)用程序。TCP對下層服務(wù)沒有多少要求，它假定下層只能提供不可靠的數(shù)據(jù)報(bào)服務(wù)，它可以在多種硬件構(gòu)成的網(wǎng)絡(luò)上運(yùn)行。TCP段以internet數(shù)據(jù)報(bào)的形式傳送。IP包頭傳送不同的信息域，包括源地址和目的地址。TCP頭跟在internet包頭后面，提供了一些專用于TCP協(xié)議的信息。下圖是TCP包頭格式圖：第二十五頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

圖9TCP包頭結(jié)構(gòu)第二十六頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

源端口：16位；目的端口：16位序列碼：32位，當(dāng)SYN出現(xiàn)，序列碼實(shí)際上是初始序列碼（ISN），而第一個(gè)數(shù)據(jù)字節(jié)是ISN+1；確認(rèn)碼：32位，如果設(shè)置了ACK控制位，這個(gè)值表示一個(gè)準(zhǔn)備接收的包的序列碼；數(shù)據(jù)偏移量：4位，指示何處數(shù)據(jù)開始；保留：6位，這些位必須是0；控制位：6位；窗口：16位；校驗(yàn)位：16位；優(yōu)先指針：16位，指向后面是優(yōu)先數(shù)據(jù)的字節(jié)；選項(xiàng)：長度不定；但長度必須以字節(jié)記；選項(xiàng)的具體內(nèi)容我們結(jié)合具體命令來看；填充：不定長，填充的內(nèi)容必須為0，它是為了保證包頭的結(jié)合和數(shù)據(jù)的開始處偏移量能夠被32整除；第二十七頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件1.2.4UDP：用戶數(shù)據(jù)報(bào)協(xié)議用戶數(shù)據(jù)報(bào)協(xié)議（UDP）是ISO參考模型中一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。UDP協(xié)議基本上是IP協(xié)議與上層協(xié)議的接口。UDP協(xié)議適用端口分辨運(yùn)行在同一臺(tái)設(shè)備上的多個(gè)應(yīng)用程序。由于大多數(shù)網(wǎng)絡(luò)應(yīng)用程序都在同一臺(tái)機(jī)器上運(yùn)行，計(jì)算機(jī)上必須能夠確保目的地機(jī)器上的軟件程序能從源地址機(jī)器處獲得數(shù)據(jù)包，以及源計(jì)算機(jī)能收到正確的回復(fù)。這是通過使用UDP的“端口號(hào)”完成的。例如，如果一個(gè)工作站希望在工作站上使用域名服務(wù)系統(tǒng)，它就會(huì)給數(shù)據(jù)包一個(gè)目的地址，并在UDP頭插入目標(biāo)端口號(hào)53。源端口號(hào)標(biāo)識(shí)了請求域名服務(wù)的本地機(jī)的應(yīng)用程序，同時(shí)需要將所有由目的站生成的響應(yīng)包都指定到源主機(jī)的這個(gè)端口上。UDP端口的詳細(xì)介紹可以參照相關(guān)文章。與TCP不同，UDP并不提供對IP協(xié)議的可靠機(jī)制、流控制以及錯(cuò)誤恢復(fù)功能等。由于UDP比較簡單，UDP頭包含很少的字節(jié)，比TCP負(fù)載消耗少。第二十八頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

UDP適用于不需要TCP可靠機(jī)制的情形，比如，當(dāng)高層協(xié)議或應(yīng)用程序提供錯(cuò)誤和流控制功能的時(shí)候。UDP是傳輸層協(xié)議，服務(wù)于很多知名應(yīng)用層協(xié)議，包括網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡單文件傳輸系統(tǒng)（TFTP）。UDP協(xié)議包的標(biāo)題結(jié)構(gòu)如下：圖10UDP協(xié)議包的標(biāo)題結(jié)構(gòu)第二十九頁，共五十八頁。1.2網(wǎng)絡(luò)層的組件

SourcePort—16位。源端口是可選字段。當(dāng)使用時(shí)，它表示發(fā)送程序的端口，同時(shí)它還被認(rèn)為是沒有其它信息的情況下需要被尋址的答復(fù)端口。如果不使用，設(shè)置值為0。DestinationPort—16位。目標(biāo)端口在特殊因特網(wǎng)目標(biāo)地址的情況下具有意義。Length—16位。該用戶數(shù)據(jù)報(bào)的八位長度，包括協(xié)議頭和數(shù)據(jù)。長度最小值為8。Checksum—16位。IP協(xié)議頭、UDP協(xié)議頭和數(shù)據(jù)位，最后用0填補(bǔ)的信息假協(xié)議頭總和。如果必要的話，可以由兩個(gè)八位復(fù)合而成。Data—包含上層數(shù)據(jù)信息。第三十頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析1.3.1UDP：什么是數(shù)據(jù)包“包”(Packet)是TCP/IP協(xié)議通信傳輸中的數(shù)據(jù)單位，一般也稱“數(shù)據(jù)包”。有人說，局域網(wǎng)中傳輸?shù)牟皇恰皫?Frame)嗎？沒錯(cuò)，但是TCP/IP協(xié)議是工作在OSI模型第三層(網(wǎng)絡(luò)層)、第四層(傳輸層)上的，而幀是工作在第二層(數(shù)據(jù)鏈路層)。上一層的內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的?？梢杂靡粋€(gè)形象一些的例子對數(shù)據(jù)包的概念加以說明：在郵局郵寄產(chǎn)品時(shí)，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時(shí)候只用產(chǎn)品原包裝盒來包裝顯然是不行的。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專用紙箱里，這樣才能夠郵寄。這里，產(chǎn)品包裝盒相當(dāng)于數(shù)據(jù)包，里面放著的產(chǎn)品相當(dāng)于可用的數(shù)據(jù)，而專用紙箱就相當(dāng)于幀，且一個(gè)幀中只有一個(gè)數(shù)據(jù)包。1.3.2數(shù)據(jù)包結(jié)構(gòu)1.IP數(shù)據(jù)包第三十一頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析網(wǎng)絡(luò)層處理的數(shù)據(jù)單位是數(shù)據(jù)包。當(dāng)需要解決設(shè)置或性能問題時(shí)，就需要理解IP是如何將從上層來的數(shù)據(jù)打包的。一個(gè)數(shù)據(jù)包中有很多域。如果用協(xié)議分析儀得到了數(shù)據(jù)包，那么理解其中一些域的含義將對理解網(wǎng)絡(luò)中到底發(fā)生了什么有所幫助。這了有助于發(fā)現(xiàn)導(dǎo)致性能損失的原因。IP數(shù)據(jù)包（有時(shí)被成為數(shù)據(jù)報(bào)）是在數(shù)據(jù)被傳送到數(shù)據(jù)鏈路層以前的最后封裝形式。當(dāng)數(shù)據(jù)鏈路層從網(wǎng)絡(luò)層接收到IP數(shù)據(jù)包時(shí)，幀被封裝為EthernetVersionⅡ的幀。EthernetVersionⅡ幀包含有2個(gè)字節(jié)的被稱為以太網(wǎng)類型的字段。數(shù)據(jù)鏈路層將此字段設(shè)置為0x800，以表示幀內(nèi)包含有一個(gè)IP數(shù)據(jù)包。圖11顯示了一個(gè)包含有數(shù)據(jù)報(bào)的幀格式。目的地址源地址以太類型0x800IP報(bào)頭數(shù)據(jù)FCS圖11EthernetⅡ的幀與IP數(shù)據(jù)報(bào)IP報(bào)頭的長度在20到60字節(jié)之間。數(shù)據(jù)的長度可變。一個(gè)以太幀中IP報(bào)頭加上數(shù)據(jù)的長度可從最小的46字節(jié)達(dá)到最大的1500字節(jié)。這是因?yàn)橐粋€(gè)以太幀中，數(shù)據(jù)鏈路層的報(bào)頭加上FCS為18個(gè)字節(jié)，而最小的以太網(wǎng)幀是64字節(jié)，最大的幀為1518字節(jié)。第三十二頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析圖12中為IP數(shù)據(jù)包，其中版本域長度為4個(gè)比特，表示了IP數(shù)據(jù)包的版本?，F(xiàn)在IP的版本是4，通常被表示為Ipv4。下一個(gè)版本正在發(fā)展，為Ipv6。這個(gè)版本在很多方面，尤其是尋址方面，完全是一個(gè)嶄新的方式。雖然現(xiàn)在Ipv6在InternetⅡ項(xiàng)目中獲得了應(yīng)用，但由于現(xiàn)在還未普及，這里將不做討論。跟隨在版本域后的報(bào)頭長度域也是4個(gè)比特。報(bào)頭長度被表示為報(bào)頭占據(jù)了多少個(gè)32比特，或可說4個(gè)字節(jié)的數(shù)目。換句話說，如果報(bào)頭長度域包含的值是10，IP報(bào)頭的長度就是10×4字節(jié)，即40字節(jié)。由于報(bào)頭長度域只有4個(gè)比特，最大的IP報(bào)頭為15×4字節(jié)，即60字節(jié)。這通常夠用了，盡管有些命令可能會(huì)超過這個(gè)長度。接下來是業(yè)務(wù)類型（TOS）域，長度為1個(gè)字節(jié)。0-2位組成了優(yōu)先級(jí)位，在大多數(shù)IP網(wǎng)絡(luò)中被忽略。3-7位定義了TOS并且是互相排斥的，這是說只有其中一個(gè)位可以被置1。若想對TOS位以及它們的含義作用更深入的研究，請參見RFC1349?？梢酝ㄟ^利用帶選項(xiàng)－v的PING命令來試驗(yàn)TOS位的功能。最后一個(gè)位不用，必須為1。第三十三頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析16比特長度的長度域描述了包含報(bào)頭在內(nèi)的IP數(shù)據(jù)報(bào)的整個(gè)長度。這個(gè)值加上18個(gè)字節(jié)的以太網(wǎng)幀頭表示了整個(gè)幀的長度。IP數(shù)據(jù)包版本號(hào)4比特報(bào)頭長度4比特服務(wù)類型1字節(jié)長度2字節(jié)標(biāo)識(shí)符2字節(jié)標(biāo)志3比特分段偏移量13比特生存時(shí)間1字節(jié)協(xié)議1字節(jié)報(bào)頭效驗(yàn)和2字節(jié)源IP地址4字節(jié)目的IP地址4字節(jié)選項(xiàng)（可選）數(shù)據(jù)變量圖12IP數(shù)據(jù)包第三十四頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析長度域后面則是標(biāo)識(shí)域。通常，每發(fā)送一個(gè)數(shù)據(jù)報(bào)，這個(gè)域中的值便會(huì)加1。不過，當(dāng)數(shù)據(jù)報(bào)被拆分時(shí)，此值也有用。在這種情況下，每一個(gè)構(gòu)成數(shù)據(jù)報(bào)的數(shù)據(jù)包包含有相同的標(biāo)識(shí)。通過比較標(biāo)識(shí)域的值，以及利用IP報(bào)頭中，下面那個(gè)字節(jié)，標(biāo)志域與分段偏移域，目的地可以將數(shù)據(jù)包重新組裝起來。標(biāo)志域控制了是否可以對IP數(shù)據(jù)報(bào)進(jìn)行分段。當(dāng)數(shù)據(jù)報(bào)的長度大于介質(zhì)或接受方所允許的最大長度時(shí)，就需要將其分成更小的部分，這時(shí)就叫數(shù)據(jù)報(bào)的分段。標(biāo)志域包含有3個(gè)比特，第一個(gè)比特總為0。第二個(gè)比特是Don’tFragment比特。當(dāng)此比特被置為1，就不允許對數(shù)據(jù)報(bào)進(jìn)行分段。而0則表示數(shù)據(jù)包可以被分段。在WINDOWS環(huán)境下，默認(rèn)為不能分段。WINDOWS利用這個(gè)設(shè)置來調(diào)整數(shù)據(jù)報(bào)的長度以匹配接受方或兩者之間的路由器所承受的最大傳輸單位（MTU）。MTU定義了介質(zhì)或網(wǎng)絡(luò)層協(xié)議所能接收的數(shù)據(jù)報(bào)的大小。當(dāng)一個(gè)設(shè)備收到一個(gè)IP報(bào)，而它的長度大于所要使用的介質(zhì)所定義的MTU，或大于接收設(shè)備所定義的第三十五頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析

MTU，轉(zhuǎn)接的設(shè)備通常會(huì)將數(shù)據(jù)報(bào)分段以滿足MTU。如果Don’tFragmet比特被置1，將返回給發(fā)送方一個(gè)ICMP消息，它將調(diào)整數(shù)據(jù)包的長度并繼續(xù)發(fā)送數(shù)據(jù)包直到?jīng)]有收到ICMP消息。通過這種方式，WINDOWS自動(dòng)地探測到目的地的MTU。IP數(shù)據(jù)報(bào)的分段可能會(huì)影響到性能與可靠性。如果一個(gè)數(shù)據(jù)報(bào)被分段成多個(gè)數(shù)據(jù)包，而其中，一個(gè)數(shù)據(jù)包丟失，或由于CRC錯(cuò)誤而被丟棄，構(gòu)成此數(shù)據(jù)報(bào)的所有數(shù)據(jù)包都將要重傳。這是因?yàn)镮P沒有辦法來恢復(fù)一個(gè)丟失的數(shù)據(jù)包。數(shù)據(jù)報(bào)的恢復(fù)是在傳輸處理。性能同樣會(huì)由于分段而導(dǎo)致傷害。這是因?yàn)閷?shù)據(jù)報(bào)的分段與重組非?；ㄙM(fèi)CPU的周期。一個(gè)必需將大的數(shù)據(jù)報(bào)分段以滿足目的地MTU的路由器將影響到它的主要工作，即數(shù)據(jù)包（分組）交換。另外，一個(gè)必須重組數(shù)據(jù)報(bào)的主機(jī)CPU將會(huì)喪失本來應(yīng)更好地應(yīng)用在應(yīng)用處理的時(shí)間。標(biāo)志域的第3個(gè)比特通知接受方的設(shè)備是否還有分段數(shù)據(jù)到來。1表示還有分段數(shù)據(jù)到來，而0表示這是最后一個(gè)分段（如果數(shù)據(jù)報(bào)沒有被分段，此比特為0）。13個(gè)比特的分段偏移比特表示了各分段在數(shù)據(jù)報(bào)中的位置。分段偏移以8字節(jié)為單位，如值為100，則意味分段在數(shù)據(jù)報(bào)中的位置為800。第三十六頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析生存時(shí)間域（TTL）決定了在數(shù)據(jù)包被丟棄之前，所能經(jīng)過的路由器的數(shù)目。此域在初始主機(jī)處被設(shè)置為初始值，每經(jīng)過一個(gè)路由器，此值減一。如果此值達(dá)到0，此數(shù)據(jù)包被丟棄，通常有一個(gè)ICMP超時(shí)消息發(fā)送給發(fā)送端。生存時(shí)間域的初始值取決于操作系統(tǒng)。在Windows98和WindowsNT4.0或更高的版本中，默認(rèn)值為128。Windows95和WindowsN3.51中，默認(rèn)值為32。TTL同樣給接受方提供了一個(gè)方式，來通知發(fā)送源沒有收到所有的數(shù)據(jù)包。TTL可以被利用來當(dāng)作一個(gè)計(jì)時(shí)器，每一秒減一。如果目的地沒有收到一個(gè)數(shù)據(jù)報(bào)的所有分段數(shù)據(jù)包，數(shù)據(jù)段的TTL將減少到0,而目的地就發(fā)送一個(gè)ICMP消息來通知這個(gè)問題。接下來是8比特協(xié)議域。此域表示在IP數(shù)據(jù)報(bào)所對應(yīng)的上層協(xié)議或網(wǎng)絡(luò)層中的子協(xié)議（如ICMP）。一些通用的協(xié)議以及它們的值已列入表5-4中。我的研究發(fā)現(xiàn)已經(jīng)有133個(gè)協(xié)議被定義;最大值為256。

第三十七頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析IP報(bào)頭的下一個(gè)域是報(bào)頭校驗(yàn)和。這個(gè)16比特的值只被用來作為對IP報(bào)頭的完整性檢查。數(shù)據(jù)并不受此校驗(yàn)和保護(hù)。數(shù)據(jù)的保護(hù)是由上層協(xié)議來完成的。下面兩個(gè)域是4字節(jié)的源目的的IP地址域。報(bào)頭中最后一個(gè)域是可變長度的選項(xiàng)域。選項(xiàng)域的長度從0到40字節(jié)。通常為0字節(jié)，表示沒有特殊的選項(xiàng)。IP不可能獨(dú)自工作。一個(gè)IP數(shù)據(jù)報(bào)中一般包含有協(xié)議字段中所定義的另一個(gè)協(xié)議。另外，IP需要一個(gè)幫助協(xié)議，稱為ARP，來將IP地址轉(zhuǎn)換為物理地址。協(xié)議簡述協(xié)議域值ICMP網(wǎng)絡(luò)控制報(bào)文協(xié)議1IGMP網(wǎng)絡(luò)組管理協(xié)議2IPinIPIP封裝IP4TCP傳輸控制協(xié)議6EGP外部網(wǎng)關(guān)協(xié)議8UDP用戶數(shù)據(jù)報(bào)協(xié)議17Ipv6overIpv4Ipv4中封裝的IPv641表4常見的IP協(xié)議第三十八頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析2.ARP報(bào)文結(jié)構(gòu)ARP協(xié)議報(bào)文結(jié)構(gòu)如圖13。硬件類型協(xié)議類型硬件長度協(xié)議長度操作請求1，回答2發(fā)送站硬件地址（例如：對以太網(wǎng)是6字節(jié)）發(fā)送站協(xié)議地址（例如：對IP是4字節(jié)）目標(biāo)硬件地址（例如：對以太網(wǎng)是6字節(jié)）目標(biāo)協(xié)議地址（例如：對IP是4字節(jié)）圖13ARP報(bào)文結(jié)構(gòu)第三十九頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析1.3.3數(shù)據(jù)包捕獲機(jī)制從廣義的角度上看，一個(gè)包捕獲機(jī)制包含三個(gè)主要部分：最底層是針對特定操作系統(tǒng)的包捕獲機(jī)制，最高層是針對用戶程序的接口，第三部分是包過濾機(jī)制。不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī)制可能是不一樣的，但從形式上看大同小異。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動(dòng)層、數(shù)據(jù)鏈路層、IP層、傳輸層、最后到達(dá)應(yīng)用程序。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，對發(fā)送和接收到的數(shù)據(jù)包做過濾/緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。值得注意的是，包捕獲機(jī)制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。對用戶程序而言，包捕獲機(jī)制提供了一個(gè)統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。包過濾機(jī)制是對所捕獲到的數(shù)據(jù)包根據(jù)用戶的要求進(jìn)行篩選，最終只把滿足過濾條件的數(shù)據(jù)包傳遞給用戶程序。絕大多數(shù)的現(xiàn)代操作系統(tǒng)都提供了對底層網(wǎng)絡(luò)數(shù)據(jù)包捕獲的機(jī)制，在捕獲機(jī)制之上可以建立網(wǎng)絡(luò)監(jiān)控（NetworkMonitoring）應(yīng)用軟件。網(wǎng)絡(luò)監(jiān)控也常簡稱為sniffer,其最初的第四十頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析目的在于對網(wǎng)絡(luò)通信情況進(jìn)行監(jiān)控，以對網(wǎng)絡(luò)的一些異常情況進(jìn)行調(diào)試處理。但隨著互連網(wǎng)的快速普及和網(wǎng)絡(luò)攻擊行為的頻繁出現(xiàn)，保護(hù)網(wǎng)絡(luò)的運(yùn)行安全也成為監(jiān)控軟件的另一個(gè)重要目的。例如，網(wǎng)絡(luò)監(jiān)控在路由器，防火墻、入侵檢查等方面使用也很廣泛。除此而外，它也是一種比較有效的黑客手段，例如，美國政府安全部門的"肉食動(dòng)物"計(jì)劃。1.3.4數(shù)據(jù)包捕獲數(shù)據(jù)包捕獲技術(shù)是網(wǎng)絡(luò)管理的關(guān)鍵技術(shù)之一，捕獲到數(shù)據(jù)包就能從中分析出當(dāng)前網(wǎng)絡(luò)的狀態(tài)，也能從中診斷整個(gè)網(wǎng)絡(luò)的健康狀況，從而找到排除故障的方法達(dá)到維護(hù)網(wǎng)絡(luò)正常工作的目的。數(shù)據(jù)包的捕獲工具很多，在此以Sniffer為例來分析報(bào)文的捕獲過程。Sniffer軟件的功能：捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析；利用專家分析系統(tǒng)診斷問題；實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)；收集網(wǎng)絡(luò)利用率和錯(cuò)誤等。第四十一頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析1.3.5數(shù)據(jù)包分析捕獲數(shù)據(jù)包后的分析工作，要停止sniffer捕獲包時(shí)，點(diǎn)選CaptureStop或者CaptureStopandDisplay,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。圖14Sniffer分析界面

Sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。如上圖所示，對于捕獲的報(bào)文提供了一個(gè)Expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。第四十二頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析

1.3.6數(shù)據(jù)包詳解1.數(shù)據(jù)報(bào)文分層應(yīng)用層Telnet、傳輸層TCP、UDP網(wǎng)絡(luò)層IP、ICMP、TGMP網(wǎng)絡(luò)鏈路層設(shè)備驅(qū)動(dòng)程序及接口卡圖15四層網(wǎng)絡(luò)結(jié)構(gòu)

2.以太報(bào)文結(jié)構(gòu)解碼EthernetII以太網(wǎng)幀結(jié)構(gòu):圖16以太網(wǎng)幀結(jié)構(gòu)第四十三頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析Sniffer會(huì)在捕獲報(bào)文的時(shí)候自動(dòng)記錄捕獲的時(shí)間，在解碼顯示時(shí)顯示出來，在分析問題時(shí)提供了很好的時(shí)間記錄。源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來，方便定位問題，例如網(wǎng)絡(luò)上2臺(tái)設(shè)備IP地址設(shè)置沖突，可以通過解碼翻譯出廠商信息方便的將故障設(shè)備找到，如00e0fc為華為，010042為Cisco等等。如果需要查看詳細(xì)的MAC地址用鼠標(biāo)在解碼框中點(diǎn)擊此MAC地址，在下面的表格中會(huì)突出顯示該地址的16進(jìn)制編碼。3.IP協(xié)議包解碼IP報(bào)文結(jié)構(gòu)為IP協(xié)議頭＋載荷，其中對IP協(xié)議頭部的分析為分析IP報(bào)文的主要內(nèi)容之一，這里給出了IP協(xié)議頭部的一個(gè)結(jié)構(gòu)。第四十四頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析圖17IP協(xié)議頭部結(jié)構(gòu)第四十五頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析

4.ARP協(xié)議包解碼ARP協(xié)議為網(wǎng)絡(luò)層IP包的重要組成部分，下面是對ARP解碼的ARP請求和應(yīng)答報(bào)文的結(jié)構(gòu)。圖18Sniffer解碼的ARP請求第四十六頁，共五十八頁。1.3數(shù)據(jù)包的捕獲與分析

圖19應(yīng)答報(bào)文的結(jié)構(gòu)第四十七頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除網(wǎng)絡(luò)層提供建立、保持和釋放網(wǎng)絡(luò)層連接的手段，包括路由選擇、流量控制、傳輸確認(rèn)、中斷、差錯(cuò)及故障恢復(fù)等。網(wǎng)絡(luò)層的故障主要集中在路由上，因此，排除網(wǎng)絡(luò)層故障的基本方法是：沿著從源到目標(biāo)的路徑，查看路由器路由表，同時(shí)檢查路由器接口的IP地址。如果路由沒有在路由表中出現(xiàn)，應(yīng)該通過檢查來確定是否已經(jīng)輸入適當(dāng)?shù)撵o態(tài)路由、默認(rèn)路由或者動(dòng)態(tài)路由。然后手工配置一些丟失的路由，或者排除一些動(dòng)態(tài)路由選擇過程的故障，包括RIP或者IGRP路由協(xié)議出現(xiàn)的故障。例如，對于IGRP路由選擇信息只在同一自治系統(tǒng)號(hào)（AS）的系統(tǒng)之間交換數(shù)據(jù)，查看路由器配置的自治系統(tǒng)號(hào)的匹配情況。1.4.1RIP的故障診斷與維護(hù)在網(wǎng)絡(luò)上測定IP連通性的最常用方法是ping命令。從源端向目的端發(fā)送ping命令成功，就意味著所有物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層功能均正常運(yùn)轉(zhuǎn)。而當(dāng)IP連通失敗，首先要檢查的是源到目標(biāo)間所有物理連接是否正常、所有接口和線路協(xié)議是否運(yùn)行。當(dāng)物理層和數(shù)據(jù)鏈路層檢查無誤后，則將排錯(cuò)重點(diǎn)轉(zhuǎn)向網(wǎng)絡(luò)層，假定此網(wǎng)絡(luò)運(yùn)行的路由協(xié)議為RIP，那么一般故障處理的步驟如下：第四十八頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除1.檢查從源到目的間的所有路由設(shè)備的路由表，看是否丟失路由表項(xiàng)2.當(dāng)發(fā)生路由表項(xiàng)丟失或其他問題，檢查網(wǎng)絡(luò)設(shè)備的RIP基本配置1）使用displayrip命令察看RIP的各種參數(shù)設(shè)置?？碦IP是否已經(jīng)啟動(dòng)，相關(guān)的接口是否已經(jīng)使能，network命令設(shè)置的網(wǎng)段是否正確；2）用debuggingrip系列命令看RIP的調(diào)試信息。每隔30秒鐘，在所指定運(yùn)行RIP的接口上，路由器將報(bào)告RIP路由更新報(bào)文的傳輸，debugging信息顯示了發(fā)送每個(gè)路由更新報(bào)文的路由和度量值。通過debugging信息可以很清楚的看出RIP報(bào)文是否被正確的收發(fā)；如果發(fā)送或接收有問題，也可以從debugging信息中看到是什么原因而導(dǎo)致發(fā)送或接收報(bào)文失敗。3.當(dāng)RIP基本配置沒有發(fā)現(xiàn)問題，請檢查如下項(xiàng)目應(yīng)當(dāng)考慮是否在接口上配置undoripwork命令，是否驗(yàn)證有問題，是否引入其他路由有問題，是否訪問控制列表配置不正確等等。使用displaycurrent-config命令察看接口和RIP的相關(guān)配置。第四十九頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除1.4.2OSPF故障故障診斷與維護(hù)由于OSPF協(xié)議自身的復(fù)雜性，在配置的過程中可能會(huì)出現(xiàn)錯(cuò)誤。OSPF協(xié)議正常運(yùn)行的標(biāo)志是：在每一臺(tái)運(yùn)行該協(xié)議的路由器上，應(yīng)該得到的路由一條也不少，并且都是最優(yōu)路徑。排除故障的步驟：(1)配置故障處理：檢查是否已經(jīng)啟動(dòng)并正確配置了OSPF協(xié)議。(2)局部故障處理：檢查兩臺(tái)直接相連的路由器之間協(xié)議運(yùn)行是否正常。(3)全局故障處理：檢查系統(tǒng)設(shè)計(jì)（主要是指區(qū)域的劃分）是否正確。(4)其它疑難問題：路由時(shí)通時(shí)斷、路由表中存在路由卻無法ping通該地址。需要針對不同的情況具體分析。1.協(xié)議基本配置是否正確在排除故障之前，應(yīng)首先檢查基本的協(xié)議配置是否正確。1）是否已經(jīng)配置了RouterID使用命令routeridRouter-id進(jìn)行配置；使用disospf查詢配置的RouterIDRouter-id可以配置為與本路由器一個(gè)接口的IP地址相同，第五十頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除

需要注意的是：不能有任何兩臺(tái)路由器的RouterID是完全相同的。2）檢查OSPF協(xié)議是否已成功地被激活使用命令ospfenable啟動(dòng)協(xié)議的運(yùn)行。該命令是協(xié)議正常運(yùn)行的前提。3）檢查需要運(yùn)行OSPF的接口是否已配置屬于特定的區(qū)域使用命令ospfenablearea將接口配置屬于特定區(qū)域。可通過命令displayospfinterfaceinterfacename來查看該接口是否已經(jīng)配置成功。4）檢查是否已正確地引入了所需要的外部路由。實(shí)際運(yùn)行中可能經(jīng)常需要引入自治系統(tǒng)外部路由（其他協(xié)議如BGP或靜態(tài)路由）。如果需要，是否已經(jīng)通過命令import-route配置了引入。2.鄰居路由器之間的故障由于OSPF協(xié)議需要整個(gè)自治系統(tǒng)中所有路由器的協(xié)調(diào)工作，所以任意兩臺(tái)相鄰路由器之間的故障都會(huì)導(dǎo)致網(wǎng)絡(luò)中全部或部分路由錯(cuò)誤。第五十一頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除若出現(xiàn)故障可按下列幾點(diǎn)來檢查：1）檢查物理連接及下層協(xié)議是否正常運(yùn)行。2）檢查雙方在接口上的配置是否一致。3）hello-interval與dead-interval之間的關(guān)系。4）若網(wǎng)絡(luò)的類型為廣播或NBMA，至少有一臺(tái)路由器的priority應(yīng)大于零。5）區(qū)域的STUB屬性必須一致。6）接口的網(wǎng)絡(luò)類型必須一致。7）在NBMA類型的網(wǎng)絡(luò)中是否手工配置了鄰居。3.系統(tǒng)規(guī)劃的故障系統(tǒng)規(guī)劃中的故障主要體現(xiàn)在區(qū)域劃分中的錯(cuò)誤。協(xié)議中對區(qū)域劃分的要求是：如果自治系統(tǒng)被劃分成一個(gè)以上的區(qū)域，則必須有一個(gè)區(qū)域是骨干區(qū)域，并且保證其它區(qū)域與骨干區(qū)域直接相連或邏輯上相連，且骨干區(qū)域自身也必須是連通的。區(qū)域劃分錯(cuò)誤的表現(xiàn)形式是：在一個(gè)區(qū)域內(nèi)通常路由都是正常的，但無法得到區(qū)域外部的路由。第五十二頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除

圖20系統(tǒng)規(guī)劃錯(cuò)誤圖（1）這是從全局規(guī)劃的角度來看的，如果落實(shí)到具體的配置上，可以這樣認(rèn)為：如果在一臺(tái)路由器上配置了兩個(gè)以上的區(qū)域，則至少應(yīng)該有一個(gè)是骨干區(qū)域，或者配置了一條虛連接。在上圖中用此方法判斷，配置了兩個(gè)以上區(qū)域的是RTB和RTC，其中RTB符合要求，RTC上由于沒有配置骨干區(qū)域，所以是錯(cuò)誤的配置。表現(xiàn)的形式可能是在RTD上無法得到RTA和RTB的路由，同理，RTA和RTB上也無法得到RTD的路由。修改的方法是將Area0和Area1互相調(diào)換一下位置，或者在RTB和RTC之間配置一條虛連接。但這種判斷方法只是配置正確的必要條件，而非充分條件。第五十三頁，共五十八頁。1.4網(wǎng)絡(luò)層的故障診斷與排除

4.其它疑難雜癥如果經(jīng)過以上分析之后，仍無法定位錯(cuò)誤產(chǎn)生的原因，可繼續(xù)按以下步驟查找。1）路由表中丟失部分路由：可以查詢一下是否本路由器配置了路由過濾?？刹榭词欠衽渲昧嗣頵ilter-policy（在OSPF協(xié)議配置模式下）。如果配置，再查詢acl中的訪問規(guī)則，是否丟失的路由恰好是訪問列表中所過濾的。2）路由表不穩(wěn)定，時(shí)通時(shí)斷：表現(xiàn)形式為：路由表中的部分或者全部路由表現(xiàn)