TCPIP协议原理

1、第7章 TCP/IP协议原理课程目标:初级l 掌握TCP/IP的协议体系l 掌握IP协议报文结构l 掌握IP地址分类及掩码计算l 了解TCP、UDP协议基本原理中级、高级l 掌握IP分片和重组的理论l 掌握TCP、UDP的报文结构l 掌握TCP、UDP的工作原理l 熟悉使用抓包工具对TCP/IP报文进行抓包分析7.1 TCP/IP概述7.1.1 TCP/IP 的产生背景及特点1. TCP/IP的产生背景传输控制协议/Internet 协议 (TCP/IP) 是业界标准的协议组，为跨越 LAN 和 WAN 环境的大规模互联网络设计。如下面的时间线所示，TCP/IP 始于 1969 年，也就是美国

2、国防部 (DoD) 委任高级资源计划机构网络 (ARPANET) 的时间。ARPANET是资源共享实验的结果。其目的是在美国不同地区的各种超级计算机之间提供高速网络通讯链路。早期协议，如Telnet（用于虚拟终端仿真）和文件传输协议(FTP)是最早开发的，以指定通过ARPANET共享信息所需的基本实用程序。随着ARPANET在规模和作用范围上的日益扩大，出现了其他两个重要协议：在1974年，传输控制协议(TCP)作为规范草案引入，它描述了如何在网络上建立可靠的、主机对主机的数据传输服务。在1981年，Internet协议(IP)以草案形式引入，它描述了如何在互联的网络之间实现寻址的标准以及如何

3、进行数据包路由。1983年1月1日，ARPANET开始对所有的网络通讯和基本通讯都要求标准使用 TCP 和 IP 协议。从那天开始，ARPANET 逐渐成为众所周知的 Internet，它所要求的协议逐渐变成 TCP/IP 协议组。TCP/IP 协议组在各种 TCP/IP 软件中实现，可用于多种计算机平台，并经常用于建立大的路由专用国际网络。TCP/IP是指一整套数据通信协议，其名字是由这些协议中的两个协议组成的，即传输控制协议（Transmission Control Protocol TCP）和网间协议（Internet Protocol IP）。虽然还有很多其他协议，但是TCP和IP显然

4、是两个最重要的协议。2. TCP/IP的特点TCP/IP协议有一些重要的特点，以确保在特定的时刻能满足一种重要的需求，即世界范围的数据通信。其特点包括：开放式协议标准。可免费使用，且与具体的计算机硬件或操作系统无关。由于它受到如此广泛的支持，因而即使不通过Internet 通信，利用TCP/IP来统一不同的硬件和软件也是很理想的。与物理网络硬件无关。这就允许TCP/IP可以将很多不同类型的网络集成在一起，它可以适用于以太网、令牌环网、拨号线、X.25网络以及任何其它类型的物理传输介质。通用的寻址方案。该方案允许任何TCP/IP设备唯一的寻址整个网络中的任何其他设备，该网络甚至可以象全球Inte

5、rnet那样大。各种标准化的高级协议。可广泛而持续地提供多种用户服务。7.1.2 TCP/IP协议体系TCP/IP参考模型TCP/IP 协议体系和 OSI参考模型一样，也是一种分层结构。它是由基于硬件层次上的四个概念性层次构成，即网络接口层、互联网层、传输层和应用层。图 7.1 表示TCP/IP与OSI参考模型的对应关系。图7.2 TCP/IP参考模型的层次结构。图7.1 OSI与TCP/IP参考模型对照图图7.2 TCP/IP参考模型在TCP/IP参考模型中，去掉了OSI参考模型中的会话层和表示层（这两层的功能被合并到应用层实现）。同时将OSI参考模型中的数据链路层和物理层合并为网络接口层。

6、下面，分别介绍各层的主要功能。网络接口层网络接口层也称为数据链路层，它是 TCP/IP 的最底层，但是 TCP/IP 协议并没有严格定义该层，它只是要求能够提供给其上层-网络层一个访问接口，以便在其上传递IP分组。由于这一层次未被定义，所以其具体的实现方法将随着网络类型的不同而不同。互联网层互联网层（Internet Layer）俗称 IP 层，它处理机器之间的通信。它接受来自传输层的请求，传输某个具有目的地址信息的分组。该层把分组封装到 IP 数据报中，填入数据报的首部（也称为报头），使用路由算法来选择是直接把数据报发送到目标机还是把数据报发送给路由器，然后把数据报交给下面的网络接口层中的对

7、应网络接口模块。该层还有处理接收到的数据报，检验其正确性，使用路由算法来决定对数据报是否在本地进行处理还是继续向前传送。传输层在TCP/IP模型中，传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种服务质量不同的协议。即：传输控制协议TCP（transmission control protocol）和用户数据报协议UDP（user datagram protocol）。TCP协议是一个面向连接的、可靠的协议。它将一台主机发出的字节流无差错地发往互联网上的其他主机。在发送端，它负责把上层传送下来的字节流分成报文段并传递给下层。在接收端，它负责把收到的报文进行重组后

8、递交给上层。TCP协议还要处理端到端的流量控制，以避免缓慢接收的接收方没有足够的缓冲区接收发送方发送的大量数据。UDP协议是一个不可靠的、无连接协议，主要适用于不需要对报文进行排序和流量控制的场合。应用层TCP/IP模型将OSI参考模型中的会话层和表示层的功能合并到应用层实现。应用层面向不同的网络应用引入了不同的应用层协议。其中，有基于TCP协议的，如文件传输协议（File Transfer Protocol，FTP）、虚拟终端协议（TELNET）、超文本链接协议（Hyper Text Transfer Protocol，HTTP），简单邮件传输协议(Simple Mail Transport

9、 Protocol，smtp)；也有基于UDP协议的，如网络文件系统（Network File System NFS)、简单网络管理协议（Simple Network Management Protocol SNMP）、域名系统（Domain Name Server DNS)以及简单文件传输系统（The Trivial File Transfer Protocol TFTP）。7.1.3 TCP/IP常用概念介绍TCP/IP 协议体系及其实现中有很多概念和术语，为了方便读者理解后面的内容，本节集中介绍一些最常用的概念与术语。1.包 包（packet）是网络上传输的数据片段，也称分组。在计算机网

10、络上，用户数据要按照规定划分为大小适中的若干组，每个组加上包头构成一个包，这个过程称为封装（encapsulation）。网络上使用包为单位传输的目的是为了更好地实现资源共享和检错、纠错。包是一种统称，在不同的协议不同的层次，包有不同的名字，如TCP/IP协议中，数据链路层的包叫帧（Frame），IP 层的包称为 IP 数据报，TCP层的包常称为TCP 报文等。应用程序自己也可以设计自己的包类型，如在自己设计的 socket 程序中使用包。2.网络字节顺序 由于不同体系结构的计算机存储数据的格式和顺序都不一样，要建立一个独立于任何特定厂家的机器结构或网络硬件的互联网，就必须定义一个数据的表示标

11、准。例如，将一台计算机上的一个32位的二进制整数发送到另一台计算机，由于不同的机器上存储整数的字节顺序可能不一样，如 Intel 结构的计算机存储整数是低地址低字节数，即最低存储器地址存放整数的低位字节（叫做小端机，Little Endian），而 Sun Sparc 结构的计算机存储整数是低地址高字节数，即最低存储器地址存放整数的高位字节（叫做大端机，Big Endian）。因此，直接把数据按照恒定的顺序发送到另一台机器上时可能会改变数字的值。 为了解决字节顺序的问题， TCP/IP 协议定义了一种所有机器在互联网分组的二进制字段中必须使用的网络标准字节顺序（network standard

12、 byte order）：必须首先发送整数中最高有效字节（同大端机）。因此，网络应用程序都要求遵循一个字节顺序转换规则：“主机字节顺序 网络字节顺序 主机字节顺序”，即发送方将主机字节顺序的整数转换为网络字节顺序然后发送出去，接收方收到数据后将网络字节顺序的整数转换为自己的主机字节顺序然后处理。 3.服务、接口、协议 服务、接口、协议是 TCPIP体系结构中非常重要的概念，它们贯穿了整个参考模型的始终。 简单地讲，服务是指特定一层提供的功能。例如网络层提供网络间寻址的功能，我们就可以说它向它的上一层（即传输层）提供了网间寻址服务；反之，也可以说传输层利用了网络层所提供的服务。 接口是上下层次之

13、间调用功能和传输数据的方法。它类似于程序设计中的函数调用，上层通过使用接口定义的方法来方便地使用下层提供的服务。 协议是对等层必须共同遵循的标准。它定义包格式和它们的用途的规则集。大多数包都由包头和信息组成：包头常常包括诸如源和目的地址、包的长度和类型指示符等信息；信息部分可以是原始数据，也可以包含另一个包。一个协议则规范了交换的包的格式、信息的正确顺序以及可能需要采取的附加措施。 网络协议是使计算机能够通信的标准。典型的协议规定网络上的计算机如何彼此识别、数据在传输中应采取何种格式、信息一旦到达最终目的地时应如何处理等，协议还规定对遗失的和被破坏的传输或数据包的处理过程。IPX、TCP/IP

14、、DECnet、AppleTalk 都是网络协议的例子。4.寻址 网络的核心概念是“寻址”。在网络中，一个设备的地址是它的唯一标识。网络地址通常是由数字组成的，具有标准的、以定义好的格式。网络上的所有设备都需要给定一个遵循标准格式的唯一标识，即设备的地址。在一个有路由能力的网络中，地址至少包括两个部分：网络部分（或域部分）和节点部分（或主机部分）。5.端口号TCP/UDP使用IP地址标识网上主机，使用端口号来标识应用进程，即TCP/UDP用主机IP地址和为应用进程分配的端口号来标识应用进程。端口号是16位的无符号整数，TCP的端口号和UDP的端口号是两个独立的序列。尽管相互独立，如果TCP和U

15、DP同时提供某种知名服务，两个协议通常选择相同的端口号。这纯粹是为了使用方便，而不是协议本身的要求。利用端口号，一台主机上多个进程可以同时使用TCP/UDP提供的传输服务，并且这种通信是端到端的，它的数据由IP传递，但与IP数据报的传递路径无关。 端口号的分配是一个重要问题。有两种基本分配方式：第一种叫全局分配，这是一种集中控制方式，由一个公认的中央机构根据用户需要进行统一分配，并将结果公布于众。第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回一个本地唯一的端口号，进程再通过合适的系统调用，将自己与该端口号联系起来（绑扎）。TCP/UDP 端口号

16、的分配综合了上述两种方式。TCP/UDP 将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。因此，每一个标准服务器都拥有一个全局公认的端口（well-known port），即使在不同机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。表7.1列出了常用的 TCP/UDP 端口号。 表 7.1常用端口号列表端口号协议关键词描述7TCP/UDPECHO回送9TCP/UDPDISCARD丢弃15TCP/UDP网络状态程序20TCPFTP-DATA文件传输协议（数据）21TCPFTP文件传输协议22TCP/UDPSSH安全 Shell 远程登录协议23TCPTELNET远程

17、登录25TCPSMTP简单邮件传输协议42TCP/UDPNAMESERVER主机名字服务43TCP/UDPNICNAMEWhois53TCP/UDPDOMAIN域名服务67UDP BOOTPS引导协议服务68UDP BOOTPC引导协议客户 69UDP TFTP简单文件传送协议 79TCP FINGERFinger 80TCP HTTP超文本传输协议 101TCP HOSTNAMENIC 主机名字服务110TCP POP3邮局协议版本 3 123UDP NTP 网络时间协议 139TCP NETBIOS-SSN NETBIOS 会话协议 161UDP SNMP 简单网络管理协议 162UDP

18、SNMP 陷阱 443TCP HTTPS 安全 HTTP 协议 546TCP DHCP-CLIENT 动态主机配置协议客户 547TCP DHCP-SERVER 动态主机配置协议服务器 7.2 IP协议及IP地址7.2.1 IP协议简介 IP（Internet Protocol）是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输。IP的最大成功之处在于它的灵活性，它只要求物理网络提供最基本的功能，即物理网络可以传输包IP数据报，数据报有合理大小，并且不要求完全可靠地传递。IP提供的不可靠、无连接的数据报传送服务使得各种各样的物理网络只要能够

19、提供数据报传输就能够互联，这成为Internet在数年间就风靡全球的主要原因。由于IP在 TCP/IP 协议中是如此的重要，它成为 TCP/IP 互联网设计中最基本的部分，有时都称 TCP/IP 互联网为基于IP技术的网络。 不可靠（unreliable）的意思是它不能保证IP数据报能成功地到达目的地。IP仅提供尽最大努力投递（best-effort delivery）的传输服务。如果发生某种错误时，如某个路由器暂时用完了缓冲区， IP有一个简单的错误处理算法：丢弃该数据报，然后发送 ICMP 消息报给发送端。任何要求的可靠性必须由上层来提供（如TCP）。 无连接（connectionless

20、）的意思是IP并不维护任何关于后续数据报的状态信息。每个数据报的处理是相互独立的。这也说明，IP数据报可以不按发送顺序接收。如果发送端向相同的接收端发送两个连续的数据报（先是A ，然后是 B），每个数据报都是独立地进行路由选择，可能选择不同的路线，因此B可能在 A 到达之前先到达。 IP提供了三个重要的定义： （1）IP 定义了在整个TCP/IP互联网上数据传输所用的基本单元，因此它规定了互联网上传输数据的确切格式； （2）IP 软件完成路由选择的功能，选择一个数据发送的路径； （3）除了数据格式和路由选择的精确而正式的定义外，IP还包括了一组嵌入了不可靠分组投递思想的规则，这些规则指明了主机

21、和路由器应该如何处理分组、和实际如何发出错误信息以及在什么情况下可以放弃分组。 下面将介绍IP地址和子网划分，然后将着重从IP定义的这几个方面来介绍IP。 7.2.2 IP地址及子网1. IP地址简介为了使连入Internet的众多主机在通信时能够相互识别，Internet上的每一台主机和路由器都分配有一个唯一的32位地址，即IP地址，也称作网际地址。IP地址一般采用国际上通行的点分十进制表示。 一个IP地址有4个字节组成，字节之间用句号分隔，每个字节表示为从 0 255 的十进制数（8位二进制数最大为 11111111 ，即十进制数255），这个表示法称为IP地址的点分十进制表示法（dott

22、ed decimal notation）。例如，IP地址“ 10100110 01101111 00000100 01100100 ”（对应的十六进制数为“ A6 6F 04 64 ”）用点分十进制表示法就是“ 00 ” 。 从概念上讲，每个IP地址都由两部分组成：网络号和主机号。网络号标识主机所连接的网络，也叫网络地址；主机号则标识该网络上某个特定的主机，也称主机地址（如上例中的 166.111 是网络号，4.100 是主机号）。对一个互联网来说，网络号必须在互联网中唯一，而主机号在相应的网络中也必须唯一。 一般来说，互联网上的每个接口必须有一个唯一的IP地址，因而多接

23、口主机具有多个IP地址，其中每个接口都对应一个IP地址。 2. IP地址分类IP协议规定了IP地址分为五类： AE ，其中 A 、B 、C 三类是基本类型，图 7.3表示了各类IP地址的格式。IP地址分类是根据网络号的最高几位来区分，图7.3的格式规定了用作网络号和主机号的位数，因此也就确定了各类地址的网络总数以及每个网络中主机总数。 A 、B 、C 三类地址可以使用大小不同的网络。图7.3 IP地址类型A类地址的最高位为“0”，其后7位是网络号， 24位用作主机号。 A 类地址共 126 个网，它用于少数主机数量众多的大型网络，主机数可以167772162 = 16777214 。 B 类地

24、址的最2位为“10” ，其后14位为网络号， 16位用作主机号。 B 类地址共16384 个网，它用于中等规模的网络，每个网络主机数最多为 65536-2 = 65534 。 C 类地址的最高位为“110 ” ，其后21位为网络号， 8位用作主机号。 C类地址共 2097152 个网，它用于小型网络，每个网络的主机数只能少于 2562 = 254 。 D类地址为组播（multicast）地址，它用一个地址代表一组主机。 Multicast是到一个“主机组”的IP数据报的传送，主机组是由零个或多个用同一D类IP目的地址表示的主机集合。 Multicast 数据报被传递到其目的主机组的所有成员，并

25、且同常规单点传送的 IP 数据报一样可靠。主机组的成员是动态的，也就是说，主机可以在任何时间加入或离开主机组。主机组中成员在位置上和数量上都没有限制，一个主机可以同时是一个以上主机组的成员。随着网络视频传播越来越多， multicast 使用越来越广泛，将会在后面章节详细讲解。E类是实验性地址，保留给将来使用。 在同一个互联网上， A 、B、C 类的 IP 地址必须唯一。另外，它还有如下规则： A 类地址中以 127 打头的保留作为内部回送地址（loopback），不能用作公共网地址； 网络号的第一个8位组不能为0 ，网络号为0解释为本网，网络号为0的主机地址表示该地址是本地主机； 网络号的第

26、一个8位组不能为 255 ，数字 255 用作广播地址； 主机号部分各位不能为全“1”，全“1”地址是广播地址，在网络号所指的网络上传播； 主机号部分各位不能为全“0”，全“0”地址是指示本网络。 根据这些规定，我们可以得出 A 、 B 、 C 类 IP 地址的范围： 表7.2 常用IP地址范围表 校园网或企业网如果只是内部的互联网，则可自己规定网上各主机的 IP 地址。如果是与 Internet 连接的，则要向 Internet 编号管理局（ Internet Assigned Numbers Authority ， IANA ）的有关机构申请网络号。例如中国教育科研网的用户就向 CERNE

27、T 的网络中心申请网络号，然后再安排网上主机地址。对于使用内部地址的用户，最好也不要随便用别人的地址，而是使用在 RFC 1918中推荐的为私有网络保留的 IP 地址空间： 10.0.0 .0 - 55 （ 1 个 A 类地址） - 55 （ 32 个 B 类地址） - 55 （ 256 个 C 类地址） 3子网与子网掩码由于 A 类地址太少，并且事实上也没有这样大的网络，因此在实际应用中， IP 地址还可以分层：将一个网络分为多个子网，如可将一个 A 类网络分成 256 个

28、 B 类大小的子网（subnet），同样， B 类地址、C类地址也可以分层。在分层时，不再把 IP 地址看成由单纯的一个网络号和一个主机号组成，而是把主机号再分成一个子网号和一个主机号。这就是所谓的子网编址（subnet addressing），现在所有的主机都要求支持子网编址。例如一个B类网，可以把主机地址中前8位用来表示子网地址，后 8 位留作主机地址，这种 B 类网IP地址格式如图7.4所示。这样就允许有254个子网，每个子网可以有254台主机。图7.4 包含子网地址的 B 类 IP 地址同一网络中的不同子网用子网掩码来划分，子网掩码（subnet mask）是网际地址中对应网络标识编码

29、的各位1，对应主机标识编码的各位为0的一个四字节整数，也叫做子网屏蔽码。对于 A 、B 、C 三类网络来说，它们都有自己默认的掩码，即没有划分子网时的掩码，如图 7.5 。子网掩码的作用是：如果两台主机的IP地址和子网掩码的“与”的结果相同，则这两台主机是在同一个子网中。比如说，清华大学校园网是一个B类网络，但它分成了几十个子网，如清华大学计算中心子网由四个C类地址构成，IP地址范围为54 ，其子网掩码为 。清华大学主页服务器的IP地址00 ，它和主机 处于同一子网，而和 16

30、6 则不在同一子网中。 图 7.5 子网掩码示例不同的子网掩码将网络分割为不同的子网，如对于B类网络来说，子网掩码为 将一个网络划分为 2 个子网，一个子网的 IP 地址的最后一个字节为奇数，另一个子网的 IP 地址的最后一个字节为偶数。在做 IP 地址规划时往往需要设置子网，下面的一些规律是一些很简单的数学计算结果，但在子网计算中往往很有用。假设将一个网络的主机号部分拿出 n 位用做子网地址，则： 可以将原来的网络划分为2 n个子网； 在使用连续子网掩码时，如果n8，子网地址部分对应的屏蔽码字节为十进制2 8 - 2 8-n ；每一个子网的子网地址

31、字节都能够整除 2 8-n 7.2.3 IP数据包报文结构IP 数据报是 Internet 的基本传送单元，包括数据报报头和数据区两部分。图7.6 表示IP数据报格式。图7.6 IP数据报格式IP协议的数据格式如图所示，包含以下字段：版本字段版本字段有4位，用来标识创建数据报的IP协议的版本。目前的IP协议版本是4，今后将逐渐过渡到下一代IP协议IPV6头长与全长字段头长(IHL)字段有4位。该字段紧跟在版本号字段后，用32位为单位来指出头的长度。比较而言，全长字段指出数据报的长度，包括头和高层信息。由于该字段有16位，因此一个IP数据最多有216或65535字节。服务类型字段服务类型字段指明

32、数据报将被如何处理。这个字段有8位，其中3位用来标识由发送者指定的优先权或重要程度。因此，该字段提供了IP数据报路由的优先权机制。全长包含IP头在内的数据单元的总长度（字节数）标识符与分段偏移量字段标识字段用来标明一个数据报或分段数据报。如果一个数据报被分成2个以上的段，分段偏移量字段指出该段在被传送的初始数据报中的偏移量。因此，该字段指出一个段在整个数据报中的位置。该字段的值是整型，以8位字节为单位，可提供64位单位的偏移量。对安全设备来说，能识别出所有分段属于同一个数据报是非常重要的。最近的一些黑客攻击突破了防火墙和路由器代码，这些路由器代码是用来阻止数据包的初始分段通过，而让剩余的分段通

33、过。这种攻击利用了第4层头信息只包含在第一个数据报分段的事实。如果分组设备没有保存被丢弃的初始包的记录，一旦第一分段被阻塞，它将错误地允许后来未经授权的分段通过。当实际的连接由于缺少初始分段中的第4层信息而不能建立时，黑客可以通过向特定主机发送拥有大量分段的数据报而实现“拒绝服务”的攻击。主机在等候所有分段时，必须把分段保存在内存中，从而消耗掉宝贵的资源。生命期字段生命期（TTL）字段定义了数据报可存在的最大期限，这个字段用来阻止被错误寻址的数据报在因特网或专用IP网络中无休止地游荡。由于确切的生存时间很难把握，该字段通常用跳跃站点数来度量，即当数据报从一个网络传送到另一个网络时，该字段的值减

34、1。当该字段为0时，数据报将被丢弃。标志字段标志字段中有2位用于标明是如何分段的，第3位目前还没有使用。用于分段的2位中第1位用来实现直接分段控制机制，其值为0指明数据报已分段，值为1时指明数据报没有分段。第2位为0指明该分段是数据报的最后一个分段，为1指明后面还有分段。协议字段协议字段指出用于创建数据报携带报文的高层协议。例如，其值为十进制6时，表示是TCP协议，值为十进制17时，表示是UDP协议。在版本4的IP下，8位的协议字段可确保定义一个唯一的协议。尽管TCP和UDP代表了目前为止绝大部分的因特网业务，但其他协议也可以用于传输，而且有大量协议号目前还没有被分配。在IPv6的封装中，协议

35、字段指向下一个数据报的头字段。源地址和目的地址字段源地址字段和目的地址字段都有32位。每一个地址代表一个网络和网络中的一台主机。7.2.4 IP数据包选路从概念上说，IP路由选择是简单的，特别对于主机来说。如果目的主机与源主机直接相连（如点对点链路）或都在一个共享网络上（以太网或令牌环网），那么IP数据报就直接送到目的主机上。否则，主机把数据报发往一默认的路由器上，由路由器来转发该数据报。大多数的主机都是采用这种简单机制。 更一般的情况，即IP层既可以配置成路由器的功能，也可以配置成主机的功能。当今的大多数多用户系统，包括几乎所有的Unix系统，都可以配置成一个路由器。我们可以为它指定主机和路

36、由器都可以使用的简单路由算法。本质上的区别在于主机从不把数据报从一个接口转发到另一个接口，而路由器则要转发数据报。内含路由器功能的主机应该从不转发数据报，除非它被设置成那样。 在一般的体制中，IP可以从TCP、UDP、ICMP和IGMP接收数据报（即在本地生成的数据报）并进行发送，或者从一个网络接口接收数据报（待转发的数据报）并进行发送。IP层在内存中有一个路由表。当收到一份数据报并进行发送时，它都要对该表搜索一次。当数据报来自某个网络接口时，IP首先检查目的IP地址是否为本机的IP地址之一或者IP广播地址。如果确实是这样，数据报就被送到由IP首部协议字段所指定的协议模块进行处理。如果数据报的

37、目的不是这些地址，那么（1）如果IP层被设置为路由器的功能，那么就对数据报进行转发（也就是说，像下面对待发出的数据报一样处理）；（2）数据报被丢弃。路由表中的每一项都包含下面这些信息： (1)目的IP地址。它既可以是一个完整的主机地址，也可以是一个网络地址，由该表目中的标志字段来指定。主机地址有一个非0的主机号，以指定某一特定的主机，而网络地址中的主机号为0，以指定网络中的所有主机（如以太网，令牌环网）。 (2)下一站（或下一跳）路由器（next-hoprouter）的IP地址，或者有直接连接的网络IP地址。下一站路由器是指一个在直接相连网络上的路由器，通过它可以转发数据报。下一站路由器不是最

38、终的目的，但是它可以把传送给它的数据报转发到最终目的。 (3)标志。其中一个标志指明目的IP地址是网络地址还是主机地址，另一个标志指明下一站路由器是否为真正的下一站路由器，还是一个直接相连的接口 (4)为数据报的传输指定一个网络接口。 IP路由选择是逐跳地（hop-by-hop）进行的。IP并不知道到达任何目的的完整路径（当然，除了那些与主机直接相连的目的）。所有的IP路由选择只为数据报传输提供下一站路由器的IP地址。它假定下一站路由器比发送数据报的主机更接近目的，而且下一站路由器与该主机是直接相连的。 IP路由选择主要完成以下这些功能： (1)搜索路由表，寻找能与目的IP地址完全匹配的表目（

39、网络号和主机号都要匹配）。如果找到，则把报文发送给该表目指定的下一站路由器或直接连接的网络接口（取决于标志字段的值）。 (2)搜索路由表，寻找能与目的网络号相匹配的表目。如果找到，则把报文发送给该表目指定的下一站路由器或直接连接的网络接口（取决于标志字段的值）。目的网络上的所有主机都可以通过这个表目来处置。例如，一个以太网上的所有主机都是通过这种表目进行寻径的。这种搜索网络的匹配方法必须考虑可能的子网掩码。关于这一点我们在下一节中进行讨论。 (3)搜索路由表，寻找标为“默认（default）”的表目。如果找到，则把报文发送给该表目指定的下一站路由器。如果上面这些步骤都没有成功，那么该数据报就不

40、能被传送。如果不能传送的数据报来自本机，那么一般会向生成数据报的应用程序返回一个“主机不可达”或“网络不可达”的错误。 完整主机地址匹配在网络号匹配之前执行。只有当它们都失败后才选择默认路由。默认路由，以及下一站路由器发送的ICMP间接报文（如果我们为数据报选择了错误的默认路由），是IP路由选择机制中功能强大的特性。为一个网络指定一个路由器，而不必为每个主机指定一个路由器，这是IP路由选择机制的另一个基本特性。这样做可以极大地缩小路由表的规模，比如Internet上的路由器有只有几千个表目，而不会是超过100万个表目。7.2.5 IP分片及重组在理想情况下，整个数据报被封装在一个物理帧中，使物

41、理网络上的传送非常有效。但是，我们知道，每一种分组交换技术都对一个物理帧可传送的数据量规定了一个固定的上界。例如以太网允许最大帧长1518字节，而X.25允许的最大包长为1024字节。我们把这些限制称为网络最大传送单元或MTU(Maximum Transfer Unit）。 MTU 可能很小：有的硬件技术限制为 128 字节或更少。当数据报通过一个可以运载长度更大的帧的网络时，把数据报大小限制到互联网上最小 MTU 是不经济的；相反，如果数据报的大小比互联网中最小的网络 MTU 大，则数据报无法封装在一个帧中。 互联网设计的主旨是隐藏底层网络技术和方便用户通信。因此，不是设计数据报的大小是它与

42、物理网络的限制相近，相反TCP/IP软件选择了一个方便的初始数据报大小，同时提供一种机制，在MTU 小的网络上，把大的数据报分成较小的单位。这种较小的单位叫做数据报片或段（fragment），划分数据报的过程叫做分片或分段（fragmentation）。 分片通常发生在路由器上，这些路由器分布在从数据报的源网点到目的网点之间路径上。路由器经常需要从一个具有大MTU的网络上接收数据报且必须在一个MTU小于数据报大小的网络上传送它，这就需要分片。图 7.7 表示了这样的一个需要分片的案例：网络1 和3的MTU为1500 ，网络2 的MTU为620 ，当主机A和主机B通信时，路由器R1把从A发送到B

43、上的长数据报分片，路由器 R2 把从B发送到A上的长数据报分片。 图7.7 IP分片的示例IP协议不限制数据报最小应为多小，但也不保证不分片的长数据报的可靠投递。源网点可以任意选择合适的数据报大小；分片和重组自动进行，源网点不必采取任何措施。 IP 规范对路由器提出以下要求：路由器必须接受所连网络中最大 MTU 大小的数据报；同时，它必须随时能够处理至少 576 个字节的数据报（同样要求主机也随时能够接受或重组至少 576字节的数据报）。 单片IP 数据报的 MF=0 。分成多个报片后，只有最后一个报片的 MF=0 ，其余报片的 MF=1 。分片位移指明该报片在原数据报中的位置。分片影响的报头

44、字段包括 MF 位、分片位移、报头长、总长度及报头校验和。各分片报头的这些字段要重新计算，其它字段只要从原报头拷贝即可。分片后的数据报在转发过程中还可能经过某个物理网络，其允许的包长更短，这时还要再分片。对 DF=1 的数据报禁止分片，若途经的下一个网络要求分片，路由器只能将此数据报丢弃。 数据报的重组有两种方法：一是在通过一个网络后就将分片的数据报重组；而是在到达目的主机后重组。在 TCP/IP 实现中，采用的是后一种方法。这种方法相对较好，它允许对每一个数据报片独立地进行路由选择，而且不要求路由器对分片存储或重组。 数据报头中的标识、标志和分片位移三个字段用作控制分片和重组。路由器在对数据

45、报分片时，把报头中的大部分字段都拷贝到每个分片的报头中，其主要目的是为了让目的主机知道每个到达的数据报片属于哪个数据报。目的主机通过数据报片的标识字段、源 IP 地址及目的 IP 地址来识别数据报。 目的主机要缓存数据报的分片，等分片到齐后进行重组。但可能有一些分片在传输中丢失，为此 IP 规定了分片保留的最长时间。从数据报的最先到达的分片开始计时，若逾期分片未到齐，则目标主机丢弃已到达的分片。 7.2.6 IP层协议实例1ARP/RARP协议简介 IP地址是分配给主机的逻辑地址，这种逻辑地址在互联网络中表示一个唯一的主机。似乎有了IP地址就可以方便地访问某一个子网中的某个主机，寻址问题就解决

46、了。其实不然，还必须考虑主机的物理地址问题。由于互连的各个子网可能源于不同的组织，运行不同的协议（异构性），因而可能才用不同的编址方法。任何子网的主机至少都有一个在子网内部唯一的地址，这种地址都是在子网建立时一次性指定的，甚至可能是与网络硬件相关的。我们把这个地址叫做主机的物理地址或硬件地址。物理地址和逻辑地址的区别可以从两个角度看：从网络互联的角度看，逻辑地址在整个互联网中有效，而物理地址只是在子网内部有效；从网络协议分层的角度看，逻辑地址由Internet层使用，而物理地址由子网访问子层（具体地说就是数据链路层）使用。由于有两种主机地址，因而需要一种映射关系把两种地址对应起来。我们使用地址

47、分解协议ARP来实现逻辑地址到物理地址的影像。它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。 2. ARP和RARP报头结构 ARP和RARP使用相同的报头结构，如图7.8所示。 图7.8 ARP/R

48、ARP报头结构 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP（0-1字节）：源主机硬件地址的前2个字节； 发送方IP（2-3字节）：源主机硬件地址的

49、后2个字节； 目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节； 目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节； 目的IP（0-3字节）：目的主机的IP地址。 3.ARP和RARP的工作原理 ARP的工作原理如下： (1) 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。例如图 7.9所示。 图 7.9 ARP地址映像表的例子(2) 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本

50、地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 (3) 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； (4)源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输

51、。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 RARP的工作原理： RARP（Reverse Address Resolution Protocol）是反向ARP协议，即由硬件地址查找逻辑地址。(1) 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址； (2) 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址； (3) 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；(4) 如果不存在，RARP服务器对此不做任何的响应；

52、(5) 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。4. ICMP协议 ICMP（Internet Control Message Protocol），中文称为因特网控制报文协议，与IP协议同属于OSI的网络层，用于传送有关通信问题的消息，实现故障隔离和故障恢复。例如数据报不能到达目标站；路由器没有足够的缓存空间；或路由器向发送主机提供最短路径消息等。ICMP报文封装在IP数据报中传送，因而不保证可靠的提交。ICMP报文有11种之多，报文格式如图7.10 所示。类型（0或8）代码（0）检验和未使用数据（可变长）图

53、7.10（a）ICMP报文格式图7.10(b) 封装在IP报文中的ICMP报文各字段意义：l 类型：标识生成的错误报文，它是ICMP报文中的第一个字段；l 代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因；l 校验和：存储了ICMP所使用的校验和值；l 未使用：保留字段，供将来使用，起值设为0；l 数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据。ICMP协议提供的诊断报文类型如表7.3 所示。表7.3 ICMP诊断报文类型类型描述0回应应答（Ping应答，与类型8的Ping请求一起使用）3目的不可达4源消亡5重定向8回应请求（Ping请求，与类型8

54、的Ping应答一起使用）9路由器公告（与类型10一起使用）10路由器请求（与类型9一起使用）11超时12参数问题13时标请求（与类型14一起使用）14时标应答（与类型13一起使用）15信息请求（与类型16一起使用）16信息应答（与类型15一起使用）17地址掩码请求（与类型18一起使用）18地址掩码应答（与类型17一起使用）5.实例分析以PING程序为例ping这个名词源于声纳定位操作。Ping程序由Mike Muuss编写，目的是为了测试另一台主机是否可达。该程序发送一份ICMP回显请求报文给主机，并等待返回ICMP回显应答（表7.3 列出所有的ICMP诊断报文类型）。我们称发送回显请求的pi

55、ng程序为客户，而称被ping的主机为服务器。ICMP回显请求和回显应答报文如图7.11 所示图7.11 ICMP回显请求和回显应答报文格式系统在实现ping程序时是把ICMP报文中的标识符字段置成发送进程的ID号。这样即使在同一台主机上同时运行了多个ping程序实例，ping程序也可以识别出返回的信息。序列号从0开始，每发送一次新的回显请求就加1。ping程序打印出返回的每个分组的序列号，允许我们查看是否有分组丢失、失序或重复。 当返回ICMP回显应答时，要打印出序列号和TTL，并计算往返时间（TTL位于IP首部中的生存时间字段）. Ping程序通过在ICMP报文数据中存放发送请求的时间值来

56、计算往返时间。当应答返回时，用当前时间减去存放在ICMP报文中的时间值，即是往返时间。在主机6 ping 主机，通过抓包工具进行抓图可以更加清晰的理解上面所讲内容。 图7.12 PING回显请求与回显应答图7.13 Ping 回显请求报文图7.14 Ping回显应答报文从上面图可以看出，正常情况下，ping回显请求与回显应答都是成对出现。使用的IP 协议号为1。Ping回显请求报文的ICMP 类型字段值为8，回显应答报文的ICMP类型字段值为0。TTL(Time To Live)为249。回显时延是通过包的时间戳字段相减得到。如下图 显示第一个回显响应如何得到time值。同时，我们可以知道时延（time）为ping主机发送报文到被ping主机来回总共的时间。（A）Ping回显请求的时间戳（B）Ping回显响应的时间戳图