第4章 网络层与ip协议2.doc

第4章 网络层与ip协议2 4.6互联网控制报文协议ICMP4.6.1ICMP的作用与特点?不能独立于IP单独存在（IP辅助协议），解决IP不可靠问题?要封装成IP分组（长度576B），再传送给数据链路层。 ?用于IP分组转发过程中检测错误，由路由器向源主机报告差错原因。 ?不能纠正差错（只报告差错）?传输层（高层）要得到可靠传输，需要采用其他机制来保证。 4.6.2ICMP报文类型和报文格式ICMP报文类型报文类型种类差错报告目的站不可达数据报超时数据报参数错源站抑制路由重定向查询报文时间戳请求与应答回应请求与应答地址掩码请求与应答路由器查询与通告4.6.2ICMP报文类型和报文格式ICMP报文格式类型(8bit)代码(8bit)校验和(16bit)其他部分（32bit）数据（变长）报文头ICMP的报文格式4.6.3ICMP差错报文1目的站不可达报文?路由器不能找到正确的路由器/主机，分组转发失败，丢弃该分组。 然后向源主机发出ICMP目的站不可达报文类型 (3)代码(0-15)校验和(16bit)全0（未使用）IP分组头+原始IP分组中数据前8字节071531目的不可达报文的格式4.6.3ICMP差错报文2源站抑制报文?路由器分组接收速率比转发速率快，缓冲区队列将会溢出，造成拥塞，此时向发送站发送“源站抑制”报文类型 (4)代码 (0)校验和(16bit)全0（未使用）IP分组头+原始IP分组中数据前8字节071531源站抑制报文的格式4.6.3ICMP差错报文3路由重定向报文?路由器转发分组过程中，要将最有效的路由信息告知源主机，更新主机路由表（路由重定向报文）LAN1路由器2LAN2主机B路由器1主机AIP分组IP分组路由重定向报文IP分组4.6.3ICMP差错报文3路由重定向报文路由重定向报文格式代码值描述0对特定网络重定向1对特定主机重定向2基于指定的服务类型对特定网络重定向3基于指定的服务类型对特定主机重定向4.6.3ICMP差错报文4超时报文产生超时情况?路由器转发分组时，TTL字段值减1后为0，则丢弃该分组，同时向源主机发送超时报文?分组所有分段在限定时间内（当第1个分段到达，启动定时器）未能到达目的主机时（分组无法组装），若多个分组出现这种情况，导致目的主机不能接收新的分组，从而出现“死锁”，将丢弃接收到的分段，并向源主机发送超时报文4.6.3ICMP差错报文5参数出错报文?路由器发现以上4种差错情况以外的错误字段，丢弃该分组，向源结点发送参数出错报文。 类型 (12)代码(0或1)校验和(16bit)全0（未使用）出错分组的部分信息（IP分组头+原始IP分组中数据前8字节）071531指针参数出错报文的格式4.6.4ICMP查询报文类型类型名称代码报文名称13/14时间戳请求与应答0时间戳请求0时间戳应答8/0回应请求与应答0回应请求0回应应答17/18地址掩码请求与应答0地址掩码请求0地址掩码应答10/9路由器询问与通告0路由器询问0路由器通告ICMP查询报文的类型与代码说明4.6.4ICMP查询报文1时间戳请求与应答?提供基本简单的网络时钟同步?用来确定IP分组在两个机器之间往返所需时间（时钟同步）?时间戳?初始时间戳源主机发出请求的时间?接收时间戳目的主机收到请求的时间?发送时间戳目的主机发送应答时间4.6.4ICMP查询报文2回应请求与应答测试能否到达目的主机/路由器（网络连通性）由主机发出请求，检查另一个主机能否可达（ping命令）4.6.4ICMP查询报文3地址掩码请求与应答?要得到网络子网掩码，主机向目标路由器发送地址掩码请求报文。 路由器回送应答报文，向主机提供所需的掩码4路由器询问与通告?主机要获取目标路由器是否正常工作，向目标路由器发送“询问与通告报文”。 ?主机广播/多播“路由器询问报文”，收到询问报文的路由器回送“通告报文”，广播其路由信息。 ?在没有主机询问时，路由器也可以周期性地发送路由器通告报文，不仅通告自己的存在，而且通告它所知道的网络中所有路由器。 4.6.5ICMP报文的封装?ICMP报文作为IP分组数据转发（被封装在IP分组的数据段中）?包含ICMP报文的IP分组头的协议类型字段值设为1ICMP报文IP数据IP头部帧数据帧头部帧尾部ICMP报文的封装过程4.7地址解析协议ARP4.7.1IP地址与物理地址的映射?IP逻辑地址实现不同物理网设备（主机、路由器等）地址统一?分组数据包最终在物理网络上传输（使用物理地址MAC）进程TCP UDPIP应用层传输层网络层底层物理物理数据链路层物理层端口号IP地址物理地址ARP/RARPTCP/IP中地址类型和层次关系4.7地址解析协议ARP4.7.1IP地址与物理地址的映射地址映射方法?静态映射（人工维护地址映射表）不足?映射表不能及时反映网络设备变化?IP地址不变情况下更换了网卡，重新映射?主机物理位置发生变化（IP地址不同），但物理地址不变?动态映射（ARP建立映射）4.7.2ARP地址解析协议?从已知IP地址解析对应的物理地址（MAC）的映射关系过程（正向地址解析?RARP从已知的物理地址解析对应的IP地址（反向地址解析协议）?解析过程使用ARP请求分组、应答分组硬件类型硬件地址长度协议地址长度协议类型操作源结点MAC地址源结点MAC地址源结点IP地址目的结点MAC地址目的结点MAC地址目的结点IP地址数据填充（18B)081624314.7.3ARP分组格式与封装1ARP分组中各字段的作用 （1）硬件类型16位，物理网络类型（1-以太网） （2）协议类型16位，网络协议类型（08000x-IPv4协议） （3）硬件地址长度8位，物理地址长度（6-以太网地址） （4）协议地址长度8位，网络层地址长度（4-IPv4协议） （5）操作16位，1-ARP请求分组；2-ARP应答分组 （6）源（目的）结点MAC地址6B，以太网源（目的）结点物理地址 （7）源（目的）结点IP地址4B，源（目的）结点IP地址 （8）补充数据段18B，ARP分组长度达到46B（最小帧64B要求）2ARP分组的封装以太帧头（14B）ARP分组及填充数据（46B）CRC校验和（4B）目的MAC地址（6B）源MAC地址（6B）协议类型（2B）以太帧头部封装ARP分组的以太帧4.7.4地址解析的工作过程1地址解析的工作过程主机A主机BIP195.167.0.10MAC:0020D6CAC96BIP195.167.0.15MAC:0010C6CDC68D请求解析195.167.0.15对应的物理地址？回应195.167.0.15对应的物理地址是0010C6CDC68D广播发送单播发送4.7.4地址解析的工作过程1地址解析的工作过程代理ARP工作流程4.7.4地址解析的工作过程2本地ARP高速缓存目的主机IP地址查询本机ARP高速缓存表中有IP地址的映射吗？提取物理地址广播ARP请求收到ARP应答？将“IP地址-物理地址”映射存入高速缓存找不到物理地址ARP请求分组到达与本机匹配吗？ARP请求分组到达将源主机的“IP地址-物理地址”映射存入高速缓存yesyesyesnonono4.7.4地址解析的工作过程3ARP实用工具图7-70ARP程序运行界面4.7.5ARP欺骗与防范1ARP协议缺陷?ARP高速缓存根据所接收的ARP协议包，随时进行动态更新；?ARP协议无需连接，任意主机在无ARP请求时，也可以做出应答；?ARP协议没有认证机制，只要接收的协议包有效，主机无条件根据协议包内容刷新本机ARP缓存，并不检查该协议包的合法性4.7.5ARP欺骗与防范2ARP欺骗过程4.7.5ARP欺骗与防范3.ARP欺骗的防范 （1）静态绑定（常用方法）静态绑定IP和MAC，解决内网PC欺骗。 在网关做相同绑定（双重绑定）arp-s IP地址MAC地址 （2）ARP防护软件常用工具Antiarp（以一定频率广播正确ARP信息） （3）使用具有ARP防护功能路由器4.8移动IP协议4.8.1移动IP协议基本概念?移动IP结点主机从一个链路（网络）移动到另一个链路（网络）?移动结点在不同网络之间移动，随接入位置变化，接入点也不断改变?原分配IP地址已不能反映目前所在网络位置（路由发生变化），不能继续使用原地址1992年，IETF制定移动IPv4标准草案，1996年正式公布4.8.2移动IP设计目标与主要特征1移动IP设计目标?在改变接入点时（不同网络/传输介质间移动)，不必改变其IP地址，保持移动过程中通信连续性（解决移动结点分组转发）解决两个基本问题?通过一个永久IP地址，连接到任何链路上?切换到新的链路时，仍能够保持与通信对端主机的正常通信2移动IP协议基本要求?改变网络接入点，继续使用原IP地址，与互联网其他结点通信。 ?无需修改协议，能与其他不具备移动IP功能结点通信?使用无线方式接入（无线信道带宽、误码率、电池供电等因素），应简化协议，减少协议开销，提高协议效率。 ?不应该比互联网中其他结点受到更大的安全威胁。 3.移动IP协议的基本特征?与现有的互联网协议兼容。 ?与底层所采用的物理传输介质类型无关。 ?对传输层及以上的高层协议是透明的。 ?应该具有良好的可扩展性、可靠性和安全性。 4.8.3移动IP的结构与基本术语1移动IP结构家乡网络在家乡的移动结点家乡代理互联网外地代理外地网络移动结点访问外地网络通信对端结点家乡链路外地链路家乡代理互联网外地代理通信对端结点家乡链路外地链路在家乡的移动结点本地地址家乡网络外地网络移动结点访问外地网络转发地址(a)(b)4.8.3移动IP的结构与基本术语2移动IP的基本术语?家乡地址（home address）家乡网络为每个移动结点分配的一个长期有效IP地址。 ?转交地址（care-of address）当移动结点接入一个外地网络时，被分配的一个临时IP地址。 ?家乡网络（home work）为移动结点分配长期有效的IP地址网络（目的地址为家乡地址的IP分组，以标准的IP路由机制发送到家乡网络。 2移动IP的基本术语?家乡链路（home link）移动结点在访问家乡网络时接入的本地链路。 ?外地链路（foreign link）移动结点在访问外地网络时接入的链路。 （家乡链路与外地链路比家乡网络与外地网络更精确地表示出了移动结点所接入的位置）?移动绑定（mobility binding）家乡网络维护移动结点的家乡网络与转交地址的关联。 2移动IP的基本术语隧道（tunnel）?家乡代理通过隧道将发送给移动结点的IP分组转发到移动结点?隧道一端为家乡代理，另一端通常为外地代理（也可能是移动结点）互联网从家乡代理到外地地理的隧道外地代理家乡代理家乡网络访问外地网络的移动结点报头分组数据报头分组数据外层报头原始IP数据分组封装IP数据分组使用隧道传输移动结点的IP分组2移动IP的基本术语隧道（tunnel）?原始IP分组数据要从家乡代理转发到移动结点，其源IP地址为发送该IP分组的结点地址，目的IP地址为移动结点的IP地址。 ?家乡代理路由器在转发之前需要加上外层报头。 外层报头的源IP地址为隧道入口的家乡代理地址，目的IP地址为隧道出口的外地代理的地址。 ?在隧道传输过程中，中间的路由器看不到移动结点的家乡地址。 4.8.4移动IPv4的工作原理移动IP工作过程4个阶段代理发现、注册、分组路由、注销1代理发现（agent discovery）?定义“代理通告”、“代理请求”报文（扩展ICMP路由发现机制来实现）外地代理访问外地网络的移动结点固定结点固定结点代理通告代理请求4.8.4移动IPv4的工作原理2注册（registration）?移动结点到达新网络，要将自己可达信息通知家乡代理（通过注册）?注册过程涉及移动结点、外地代理、家乡代理?通过交换注册报文，在家乡代理创建/修改“移动绑定”，使家乡代理在规定的生存期内保持移动结点家乡地址与转交地址的关联。 注册目的?使移动结点获得外地代理的转发服务。 ?使家乡代理知道移动结点当前的转交地址。 ?家乡代理更新即将过期的移动结点注册、或注销回到家乡的移动结点。 4.8.4移动IPv4的工作原理注册过程外地代理访问外地网络的移动结点互联网家乡代理家乡网络访问外地网络的移动结点互联网家乡代理家乡网络外地链路通过外地代理转发注册请求移动结点直接到家乡代理注册4.8.4移动IPv4的工作原理3分组路由（packet routing）移动IP路由单播、广播、多播（ （1）单播路由分组?移动结点接收单播分组?移动结点发送单播分组?通过外地代理路由?通过家乡代理转发图7-76移动结点接收单播分组图7-77移动结点发送单播分组4.8.4移动IPv4的工作原理3分组路由（packet routing）（ （2）广播路由分组?一般情况下，家乡代理不广播数据分组到移动绑定列表中每个移动结点?如果移动结点已请求转发广播数据分组，则家乡代理将采取“IP封装”的方法进行转发3分组路由（packet routing）（ （