理论加强篇CCNA网络层

1、理论加强篇6 网络层（二） 学习目标 描述路由器的功能描述路由器的功能 描述路由和路由协议的概念描述路由和路由协议的概念 描述网络层协议和功能描述网络层协议和功能 学习完本课程，您应该能够：学习完本课程，您应该能够： 课程内容 网络层设备网络层设备 IP协议协议 网络层其它协议网络层其它协议 网络层设备 路由器是网络的“边缘”设备 路由器的基本构成 路由器的核心作用是实现网络互连 路由器必须具备： 两个或两个以上的接口 协议至少实现到网络层 至少支持两种以上的子网协议 具有存储、转发和寻径的功能 路由器的作用 实现不同速率网络的适配 隔离广播，实施安全策略， 保证网络安全 建立维护路由信息，实

2、现数 据包转发 分片与重组 备份、流量控制 异种网络互连 路由器的工作流程 IP ETHPPP 以太口以太口串口串口 IP PPPETH 串口串口以太口以太口 协议封装协议封装 路由选择路由选择 协议转换协议转换 路由器路由器路由器路由器 WAN 传送传送 拆包拆包 LAN1 LAN2 接收接收发送发送 课程内容 网络层设备网络层设备 IP协议协议 网络层其它协议网络层其它协议 可路由协议 可路由协议：Routed Protocol 可路由协议属于网络层，封装网络层数据包， 以实现数据包转发 常见的可路由协议：IP协议、IPX协议 路由协议 路由协议：Routing Protocol 路由协议

3、属于应用层 与可路由协议协同工作，用于生成路由信息 常见的路由协议：RIP、OSPF、IS-IS、 IPX RIP IP协议：无连接数据报传送 网间网的核心层是网络层和传输层，相应的核心协议便是IP和TCP。其中，IP协议 的主要功能是无连接数据报传送、数据报寻径以及差错处理。这里我们讨论IP协议的第 一大功能：无连接数据报传送。主要内容包括：IP数据报的格式、相应的规则与算法、 揭示IP数据报如何构成网间网通信的基础。 IP协议：无连接数据报传送 1.IP1.IP层的特点和地位层的特点和地位 2.TCP/IP2.TCP/IP可靠性思想可靠性思想 3.IP3.IP数据报数据报 4.IP4.IP

4、数据报选项数据报选项 1. IP层的特点和地位 IP层是通信子网的最高层，提供无连接的数据报传输机制。因而通信子网是不可靠的 ：它只管将分组传往信宿机，在其通过的每一个站点，都不做检验，不发确认，也不保 证分组的正确顺序。IP协议是点到点的。IP层对等实体间的通信不经过中间机器，对等 实体所在机器位于同一物理网络，对等机器之间拥有直接的物理连接，IP层点到点通信 的一个最大问题是寻径：根据IP地址如何确定通信的下一个站点。 网间网技术是解决通信子网异质性的技术。具体方法是在低层网络技术与高层应用 程序之间增加一个中间层软件，以便抽象和屏蔽硬件细节，向用户提供通用网络服务。 TCP/IP技术正是

5、为包容物理网络技术的多样性而设计的，这种包容性主要体现在IP层中 。IP协议向上层（主要是TCP层）提供统一的IP数据报，使得各物理帧的差异性对上层协 议软件不复存在。因此，IP层协议是TCP/IP迈向异种网互连的第一步。下面将讨论IP协 议对物理帧的统一机制：IP数据报。这种统一机制可以用下图来描述。 IP数据报 ARPANET帧以太网帧令牌环帧 IP IP数据报对物理帧的统一 2. TCP/IP可靠性思想 IP协议采用无连接的数据报机制，对数据进行“尽力传送”。TCP/IP的可靠性体现 在传输层，传输层协议之一TCP提供面向连接的服务，但传输层的另一个协议UDP却只 提供无连接的服务。因为

6、传输层是端到端的，所以TCP/IP的可靠性被称为端到端可靠 性。 端到端可靠性思想有两个优点。第一，TCP/IP协议跟许多别的协议（如ISO/OSI， DNA）相比，显得简洁清晰。因为面向连接协议的复杂性比面向无连接协议高出许多， TCP/IP协议只在TCP层提供面向连接的服务，比若干层同时提供面向连接服务的协议族 显然要简单。第二，TCP/IP的效率相当高。TCP/IP的通信子网是“尽力传送”方式的， 只有TCP层为提供可靠性做必要的附加工作（建立连接、维护连接、拆除连接、确认应 答、时间片处理）；不像ISO/OSI几乎每一层都要保证可靠性传输，大量重复。实践证 明，TCP/IP的效率比IS

7、O/OSI高，尤其是当低层网络技术很可靠时，TCP/IP的效率更加 可观。 当然，若干层同时提供可靠性也有其独到的优点，因为下层越可靠，上层的可靠性 负担越轻，实际上做的可靠性工作越少。当低层网络技术不可靠时，这种方式的优越 性就体现出来：不可靠因素在下层得到很大程度的抑制，下层恢复传输错误的开销要 小得多；传输错误到了上层才被发现，恢复起来开销就大了。 3. IP数据报 IP数据报有两层含义：第一指IP层的无连接数据报传输机制和IP层无连接服务；第 二指IP层传输的数据单元及格式。二者是密切相关的：数据报机制要通过数据报格式来 体现，而数据报格式只有在数据报机制中才真正具有意义。 1.数据报

8、格式 IP数据报格式如下图所示，分为报头和数据区两部分，符合典型分组的一般格式。 报头长度取32比特字长的整数倍，由IP协议处理，是IP协议的体现；数据区用于封装上 层（传输层）数据。IP数据报是为实现它的无连接传输机制和IP层的无连接服务而设计 的。 20 Bytes IP 数据 Version (4) Destination IP Address (32) Options (0 or 32 if any) Data (varies if any) 1 Bit 0 Bit 15Bit 16Bit 31 Header Length (4) Priority & Type of Service

9、(8) Total Length (16) Identification (16) Flags (3) Fragment offset (13) Time to live (8)Protocol (8)Header checksum (16) Source IP Address (32) 0 4 8 16 19 24 31 版本 头标长 服务类型 总 长 标 识 标志 片偏移 生成时间 协议 头标校验和 信源IP地址 信宿IP地址 选项 填充域 IP数据报格式 报头 数据区 3. IP数据报 下面将分别对IP数据报中的各个域展开讨论，说明IP数据报机制是如何体现在IP数 据报格式中的。 2.版

10、本与协议类型 “版本（VERS）”域是IP数据报中的第一个域，它规定数据报头的格式，占用4个比 特。不同的IP协议版本号规定了不同的IP数据报格式。我们的讨论对象是4号版本。IP 软件首先检查版本号，再进行处理。它拒绝版本号不同的数据报。“协议 （PROTOCOL）”域表示创建该数据报数据区数据的高级协议类型（如TCP），实际上表 示数据区数据的格式，占用8个比特。协议类型代码在整个Internet范围内保持一致， 由Internet中央管理机构（NIC）统一管理。 “版本”域和“协议”域都是指定数据的格式，二者的层次却不一样。前者指定数 据报头格式，属IP层范畴；后者指定数据报数据区格式，属

11、传输层范畴。 决定上层协议 协议域 传输层传输层 Internet 层层 TCPUDP 协议号协议号 IP 17 16 其它其它ICMP 3. IP数据报 3.长度 IP数据报报头含两个长度域。头标长（HLEN）域占用4个比特，表示以32比特字长为单 位的报头长度。在报头中，除IP选项域、填充域外，其余都是定长域。各定长域共占用5个 32比特字长。因此一个不含选项域和填充域的IP数据报，其头标长域取值为5。对一个包含 选项域的IP数据报，报头长度取决于选项域的长度，报头长度应是32比特的整数倍；否则， 填充域（PADDING）便添0凑齐。总长（TOTAL LENGTH）域占用16个比特，表示以

12、字节 为单位的整个IP数据报（包括头标、数据区）的总长度（不能大于65535个字节）。 4.服务类型与优先权 服务类型（SERVICE TYPE）域规定对本数据报的处理方式，占用8个比特，分为5个子 域，其结构如图所示。这个字段共有四种选择：优先、低延迟、高吞吐和高可靠。对服务 类型各个子域信息的使用和具体处理是在网关中进行。 优先权 D T R未用 0 3 4 5 6 7 服务类型子域结构 3. IP数据报 在了解标识、标志、片偏移三个域时我们先了解以下几个概念： 5.数据报传输 网络数据都是通过物理网络帧传输的。从主机发出的IP数据报在其子网接 口中封装成帧后，送进与之相连的第一个物理网络

13、。帧的长度正好就是第一 个物理网络所允许的最大帧长度。当此帧到达与第一个物理网络相连的下一 个网关时，在其子网接口中删除帧头，露出IP数据报，送到IP层。在此IP层查 找间接路径表，得到要传送去的下一个网关的IP地址，并解析出与下一个网 关相连的物理网络。将IP数据报送回子网接口。子网接口根据新的物理网络 要求，重新封装数据报，并传送到新的物理网络。这里要特别强调指出，按 照新物理网络技术重新封装IP数据报成帧是绝对必要的：各种物理网络技术， 对帧的大小有不同的规定。某种物理网络所允许的最长的帧称为该网络的最 大传输单元（Maximum Transfer Unit，MTU）。MTU由硬件决定。

14、不同物理 网络，其MTU一般不相同。此外，不同物理网络其帧头格式一般也不相同。 反过来说，同一个物理网络的各个节点上的MTU是一样的，帧格式也是一样 的。而IP数据报的大小却是由软件决定的，在一定范围内（比如第4版IP协议 规定每一IP数据报最大不能超过65535个字节）可以任意选择。IP数据报大小 的上限也可以通过修改协议版本人为改变。下面，将具体地来说明IP数据报 的传输过程。 3. IP数据报 IP数据报的传输过程： （1）数据报封装。数据报的重新封装仅在网关中进行，这是最简单的情况。如果按新的物理 网络技术装配成帧后，总长度能为新的物理网络允许，那么就可以将IP数据报直接装入帧 数据区

15、，作为无意义的一般数据传输，物理硬件并不关心其细节。这种将数据报直接映射 到物理帧的方式叫做数据报封装（encapsulation），如图所示。 数据报头数据报数据区 帧数据区帧头 数据报封装 3. IP数据报 （2）数据报分片。数据报分片（fragment）仅在网关中进行。如果新的物理网络不能容纳原 数据报的新的整体封装，就要将其分成两片或更多的片，使得分片包装后，新的物理网络 能容纳下分片包装的每一个帧。 举一个具体例子来说明分片方法，如下图所示。设在当前物理网络上传送的一个帧中封 装着一个数据报。该数据报报头长20个字节，数据长1400个字节。通过网关后，将要进入 的下一个物理网络，除新

16、帧头长度外，被封装的数据报长度最多是620个字节。应该分为 三片。三个片的片头域基本上都从原数据报的报头拷贝过来（“标志”域及“片偏移”域 除外），各长20个字节（等于无选项普遍数据报报头长）。第一片取原数据的前600个字 节（MTU减片头长）。第二片取原数据的相继600个字节。第三片取原数据的最后200个字 节。然后，根据片的顺序对三个片头中的标志域、片偏移域，分别作相应修改。 分片必须满足两个条件：第一，各片尽可能大，但要能为帧所封装；第二，片大小（以 字节为单位）必须为8的整数倍，因为IP数据报报头中的片偏移域是以8个字节（64比特） 为1个片偏移单位的。 分片只可能出现在不同MTU网络

17、交界处的网关中。因为根据“方便”原则，信源机按照 所在网络的MTU确定初始数据报大小，所以信源机处不进行分片。在同一物理网络传输过 程中，由于数据报及MTU大小均无改变，同样不会出现分片。IP规范要求，网关必须能处 理所连诸网络中最大的MTU数据报，主机和网关通常必须能处理至少576个字节的数据报。 片2(偏移600) 片1(偏移0) (a) 数据区大小为1400字节的初始数据 数据1(600字节)数据1(600字节)报头(20字节)数据3(200字节) (b) 在MTU=620字节的网络上的三个分片 数据1片1头(20字节) 数据2片2头(20字节) 数据3片3头(20字节) 片3(偏移12

18、00) 分片方法与片格式 3. IP数据报 （3）片的重组。所有片的重组只在信宿主机中进行。这就是说，一旦数据报被分片，各片 就作为独立的数据报进行传送，在到达信宿机之前可能还会多次被分片，但决不进行 片重组。这就大大简化了网关协议，减轻了网关负担，使分组以最快的速度在网间网 中传递。 TCP/IP对数据报的分片与重组，是网络操作系统的内部功能，对应用软件和一般用 户都是透明的。 3. IP数据报 现在总结IP数据报报头中的标识域（IDENTIFICATION）、标志域（FLAGS）、片偏移 域（FRAGMENT OFFSET）在分片与重组过程中所发挥的作用。 标识是信源机赋予数据报的标识符，

19、信宿机利用它和信源地址判断收到的分组属于 哪个数据报，以便数据报重组。 标志域占3个比特。最高位无效。中间一位名为“不分片（do not fragment）”， 置1表示不允许分片，置0表示允许分片。如果在某一网关处，必须对标志置1的数据报 分片才能在下一个物理网络传送时，网关就将它抛弃，并向信源机发回一出错信息。 标志域的最低一位名为“片未完（more fragment）”，置1时表示该片不是原数据报 的最后一片，置0时表示该片是原数据报的最后一片。 片偏移域。片偏移域指出本片数据在初始数据报数据区中的偏移量，以8个字节（64 比特）为1个片偏移单位。 3. IP数据报 6.数据报延迟控制

20、（TTL） 数据报传输的一大特点是随机寻径，因此从信源机到信宿机的传输延迟也具有随机 性。有这种可能性：由于网关寻径表出错，数据报会进入一条循环路径，无休止地在 网间网中流动。为避免出现诸如此类的情况，IP协议对数据报传输延迟要进行特别的控 制。 信源机每产生一个新的IP数据报，便在其报头的“生存时间（Time To Live，TTL）” 域中填写入本数据报的最长生存时间值，以秒为单位。每经过一个网关或主机，便要 减去一定的旅程消耗时间。网关或主机再检查该域的新值，若小于或等于0，便将该数 据报从网间网中删除，并信源机发回出错信息。 此外，在接收端的内存中，设置了一组重组定时器（reassem

21、bly timer）。接收端 收到某数据报的第一个分片后，立即启动一个重组定时期定时，假如在规定时间内尚 未收到全部分片则放弃整个数据报，同时向信源机报告出错信息。 3. IP数据报 7.头校验和 “头校验和（HEADER CHECKSUM）”域用于保证头标数据的完整性。计算方法：将该域 初值置0；对头标数据每16位求异或；结果取反。注意，在IP数据报中只含头校验和，而无 显式的数据区校验域。这种将头标校验与数据区校验分开的做法其好处是可大大节约网关 处理每一数据报的时间，符合“尽力传送”思想，同时又允许不同协议选择自己的数据校 验方法。缺点是给高层软件留下数据不可靠的问题，增加了高层协议的负

22、担。IP层为了最 大限度地提高效率，做了不少诸如此类的舍弃。 3. IP数据报 8.信源地址与信宿地址 在IP数据报的头标中，最简单的两个域是“信源地址（SOURCE ADDRESS）”域和 “信宿地址（DESTINATION ADDRESS）”域，各占32比特，分别表示本IP数据报（最初） 发送者和（最终）接收者的地址。在整个数据报传输过程中，无论经过什么路径，无论怎 样分片，此两域均保持不变。 4. IP数据报选项 “IP选项（IP OPTIONS）”主要用于控制和测试。作为选项，IP选项域是任选的，但 作为IP协议的组成部分，在所有IP协议的实现中，选项处理都不可缺少。 IP选项一共有4

23、类，每一类又分若干选项号。4类中，有两类是在用的，即0类和2类。0 类用于数据报或网络控制，其中有6个选项号是在用的，2类用于调试和测试，其中有1个 选项号是在用的。这就是说，数据报选项域一共有7个选项可选。下表列出了所有可能的 选项号。 各选项由三部分组成：选项码（option code）、长度和选项数据。选项数据的长度由 “长度”部分决定。选项码由“拷贝（COPY）”、“选项类（OPTION CLASS）”和“选项 号（OPTION NUMBER）”组成。其中“拷贝”标志用于控制网关分片时对本选项的处理。 “选项类”和“选项号”用于确定该选项的具体内容。 4. IP数据报选项 选项类 选项

24、类号长度(字节) 意 义 00 选项表结束（标志数据报报头任选项域结束） 01 无操作（作为填充数据，用于在任选项域中排列字节） 0211安全与处理限制（军事应用） 03可变自由源路径 07可变记录路径 09可变严格源路径 24可变Internet时戳 IP数据报可用的选项号 4. IP数据报选项 （1）源路径。所谓源路径（SOURCE ROUTE）指信源机所规定的本数据报穿越网间网的路径， 区别于由IP层进行寻径后得出的路径。源路径可用于测试某特定网络的吞吐率，可以使数 据报绕开出错网络等，是很有用的一个选项。源路径有两类：一类是严格源路径（strict source route），一类是自

25、由源路径（loose source route）。 （2）路径记录。“路径记录（RECORD ROUTE）”选项记录下数据报从信源机所经过路径 上各网关的IP地址。该选项格式与源路径选项格式相同。需要注意的是，只有在信源机和 信宿机双方都同意的情况下，记录路径选项中的各IP地址才能得到处理，该选项才真正有 效。 （3）时戳。所谓时戳（time stamp）就是数据报每经过一个网关时所记录下的当地时间。IP数 据报的“时戳”选项即用于记录时戳，其格式与源路径选项类似。 IP包转发 将数据报文从一个网络转发到另一个网络 根据IP包中的目的地址选择路由，完成转发 路由信息存放在路由表中： 路由表的精

26、确匹配 精确匹配：子网掩码最长的路由 最后使用缺省路由 否则，发送ICMP Unreachable报文 报文分片 不同物理网络允许的最大帧长度（MTU）不 同 IP报文分段满足最大传输单元要求 IP必须重组报文 IP头中标识、标志和段偏移等字段提供分段 重组信息 课程内容 网络层设备网络层设备 IP协议协议 网络层其它协议网络层其它协议 从网间网地址到物理地址的解析 从网间网地址到物理地址的映射称地址解析，是绝对必要的：当IP数据报在接口层中封 装成帧发送到物理网络上的时候，帧头信息中就需要写上物理地址。有三中方式来实现这 种映射。 （1）表格方式。在各主机中事先建立一张网间网地址-物理地址映

27、射表。 （2）直接映射。直接映射（direct mapping）方法只适用于短且可以自由配置的物理地址。 （3）动态联编。以太网具备广播能力、物理地址长且固定。动态联编正是针对这类网络设计 的一种方式，并制定了相应的ARP标准。 ARP协议 ARP提供从提供从Internet地地 址到物理地址的解析址到物理地址的解析 子网内的ARP解析 1.1.1.11.1.1.2 IP: 1.1.1.2 = ? 我需要知道我需要知道 1.1.1.2的物理地的物理地 址址. 子网内的ARP解析 1.1.1.11.1.1.2 IP: 1.1.1.2 = ? 我知道你的请求，这是我知道你的请求，这是 我的物理地址

28、我的物理地址 我需要知道我需要知道 1.1.1.2的物理地的物理地 址址. 子网内的ARP解析 1.1.1.1 IP: 1.1.1.2 Ethernet: 00E0.FC12.3456 1.1.1.2 IP: 1.1.1.2 = ? 我知道你的请求，这是我我知道你的请求，这是我 的物理地址的物理地址 我需要知道我需要知道1.1.1.2 的物理地址的物理地址. 子网间ARP解析 从物理地址到网间网地址的解析 从物理地址到网间网地址的影射，就是一台主机根据自己的物理地址如何获得它本 身的IP地址。对于一般主机来说，IP地址就在其硬盘上，而物理地址即在本机ROM中。 通过ROM中的物理地址获得其硬盘

29、上的IP地址当然是很容易的。然而当站点是无盘机 的时候，这种映射就是十分必要的了。无盘机没有硬盘，其IP地址存放在服务器的硬盘 中。它的物理地址也存放在本机的ROM中。本机ROM中还存放有一个基本输入/输出系 统，因而可以依赖物理地址进行本地网络通信。 RARP协议实现了从物理地址到网间网地址的映射。基本原理是：在RARP服务器上维 持一张本网所有主机“物理地址-IP地址”映射表。无盘机通过广播向本网络发送RARP 请求，RARP报文中携带着本机物理网络地址。网上所有机器均收到该请求，只有提供 RARP服务的特权机（RARP服务器）处理请求，根据无盘机的物理地址从映射表中查出 其IP地址，再根

30、据其物理地址，直接向无盘机发送它的IP地址。当网上同时有若干个 RARP服务器工作的时候，该无盘机会收到所有服务器的响应，但它只使用最先到达的 一个。 RARP协议 Ethernet: 0800.0020.1111 IP = ? 我的地址我的地址 是多少？是多少？ RARP协议 Ethernet: 0800.0020.1111 IP = ? 我的地址我的地址 是多少？是多少？ 我听到了广播我听到了广播 你的地址是你的地址是 172.16.3.25. RARP协议 Ethernet: 0800.0020.1111 IP: 172.16.3.25 Ethernet: 0800.0020.1111

31、IP = ? 我的地址我的地址 是多少？是多少？ 我听到了广播我听到了广播 你的地址是你的地址是 172.16.3.25. RARP协议 Ethernet: 00E0.FC12.3456 IP: 1.1.1.1 Ethernet: 00E0.FC12.3456 IP = ? 我的地址我的地址 是多少？是多少？ 我听到了广播我听到了广播 你的地址是你的地址是 1.1.1.1 实现物理地址到逻辑地址的映射实现物理地址到逻辑地址的映射 互联网控制消息协议ICMP 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。在 下列情况中，通常自动发送ICMP消息： IP数据报无法访问目标。 IP

32、路由器（网关）无法按当前的传输速率转发数据报。 IP路由器将发送主机重定向为使用更好的到达目标的路。 差错与控制报文 在任何网络体系结构的各层次中，控制都是必不可少的功能。但不同的层次有不同的控 制内容，不同层次之间有不同的分工。TCP/IP体系结构中的IP层同OSI/ISO体系结构中的 网络层相似，其控制功能包括：差错控制、拥塞控制以及路径控制。 任何控制都是建立在信息的基础之上的：一方面，控制机构需要向被控制对象了解信息， 以便做出控制决策；另一方面要向被控制对象下达控制信息，才能达到控制的目的。控制 结构了解信息的方式分为主动和被动两种，主动方式是控制机构向对象发出询问，被动方 式是接受

33、对象的报告。IP层协议ICMP不仅提供差错报告功能，同时还是TCP/IP中传递网络 控制信息的主要手段。 虽然ICMP报文由IP数据报传输，但人们并不把ICMP看作是比IP更高层的协议。事实上 ，ICMP的信宿总是信宿机上的IP软件，ICMP软件只是作为IP软件的一个模块而存在。IP软 件一旦接收到差错或控制报文，立即交给ICMP模块处理。从这种意义上说，我们也可以把 ICMP看作不同机器的IP软件间相互通信的机制。 之所以不把ICMP作为单独的一层，是因为在协议层次结构中，ICMP的差错和控制信息传 输在概念上并不构成一个独立的层次，它不是一种具有普遍意义的传输机制，不是上层协 议赖以存在的

34、基础，而只解决了网间网中一类特殊问题，所以不能独立出来。（如下图） ICMP协议 Destination Unreachable Echo (Ping) Other 应用层 传输层 Internet层 物理层 数据链路层 ICMP PING TRACERT ICMP报文格式 ICMP报文 IP首部（20字节） IP数据报 16位校验和8位类型8位代码 不同类型和代码有不同的内容 如同其它高层协议一样，ICMP也是封装在IP数据报的数据部分中传输的，如下图所示。 包含ICMP报文的IP数据报报头协议域指出数据区内容为ICMP报文。 ICMP报文格式 如右表所示；以一个整数来表示报文的类型， 代码

35、域（CODE）也占一个字节，用一个整数 提供报文类型的进一步信息；校验和域 （CHECK SUM）占两个字节，提供整个 ICMP报文的校验和（校验和算法与IP数据报 报头校验和算法相同）。 ICMP报文数据区包含出错数据报报头及该 数据报前64比特数据，提供这些信息的目的 在于帮助信源机确定出错数据报。 类型域 ICMP报文类型 0回应应答 3信宿不可到达 4源抑制 5重定向 8回应请求 11数据报超时 12数据报参数错 13时戳请求 14时戳应答 17地址模请求 18地址模响应 ICMP报文类型 ICMP差错报文 差错报告作为ICMP最初始的功能，具有以下一些特点。首先，ICMP作为差错报文

36、传 输机制，最根本的功能是提供差错报告，但ICMP协议并不严格规定对某种差错应该采 取什么方式处理。事实上，信源机接到ICMP差错报告后，还需要将它与某应用程序联 系起来，才能进行相应的差错处理。当然，ICMP协议也规定了ICMP差错报文的各种使 用方式，对可能采取的行动也提出了建议，但并没有规定所有可能的行动。其次， ICMP的差错报告都是网关源机模式的，原因在于：第一，IP数据报本身只包含信源 地址和信宿地址（除非选用“记录路径”选项），一旦发现错误，差错情况要么报告信 源机，要么报告信宿机。但报告信宿机没有意义，因为传输错误跟信宿机毫无关系；甚 至可能根本就无法做到，因为传输错误可能使信

37、宿机不可到达。由此差错信息只能传输 给信源机。第二，网间网中各网关独立寻径，发现问题的网关不可能知道出错数据报已 经经过哪些网关（除非选用“记录路径”选项），从而无法将出错情况通知相应网关。 ICMP差错报文 这种简单的网关源机传输模式的最大缺点在于差错报告有时不能真正解决问题。多数 情况下，IP数据报传输错误是源机引起的，但有时也可能是中间网关引起的。出错的中间 网关得不到差错报告，而与此无关的信源机又不知道错误出在哪里。对这种问题，ICMP可 以说是无能为力的，只能寄希望于系统中高度智慧的因素管理员。通过主机管理员和网 络管理员的共同努力，任何错误都会得到修正，系统总会回复正常状态。对管理

38、员的信赖， 是ICMP坚持将各种传输错误报告信源机的重要原因之一，否则报告差错情况是没有多大用 途的。 ICMP差错报文本身有四大特点：第一，差错报告不享受特别优先权和可靠性，仅作为 一般数据传送。第二，差错报告本身可能丢失、损坏，或在拥挤的线路上被抛弃，为了避 免出现关于差错报告的差错报告，TCP/IP规定，一旦发现ICMP差错报文出错，立即向差错 处理过程产生一个异常中断。第三，ICMP差错报告数据区中除包含故障数据报报头外，还 包含故障数据报数据区的前64比特数据。这样做的目的在于使差错报告的接收端（信源主 机）更准确地确定涉及故障数据报的高级协议和应用程序，因为TCP/IP规定，各高级

39、协议 必须将与本协议相关的至关重要的信息编入数据区前64比特中。第四，ICMP差错报告是伴 随着抛弃出错数据报而产生的。IP软件一旦发现传输错误，它首先把出错报文抛弃，然后 调用ICMP向源端主机报告差错信息。 ICMP差错报文 ICMP出错报告包括信宿不可到达报告、超时报告、参数出错报告等。下面逐一介绍。 1.信宿不可到达报告 网关寻径和转发数据报并不总是能成功的，在下述情况下，它便会发现信宿不可到 达：信宿机没有运行（出现故障、关机，或已撤离网络）；发送者指定的信宿不存在； 网关不知道去往信宿的路径。其中第一种情况寻径是成功的，只是转发数据时出了差错； 第三种情况是寻径时出的差错，在网关寻

40、径表中根本没有关于信宿的表目。不论发生上 述哪种故障，网关便向信源机发送 “信宿不可到达”报文并抛弃相应数据报。 ICMP差错报文 2.超时报告 网间网寻径是网关根据本地寻径表进行的，若某些网关寻径表出现差错，则网间网 寻径将出现不一致性。其后果之一就是数据报路径中的某些网关组成一个循环，称之 为寻径圈（routing cycle），使数据报无休止地在寻径圈中循环。为了防止出现这种 情况，TCP/IP采取了两项措施：一是在数据报报头设置“生存时间（Time To Live， TTL）”域，二是对分片数据报采用定时器技术。通过定时来限制数据报在网络中的逗 留时间，以提高网络的传输效率。一旦定时时

41、间到，网关或信宿机立即抛弃本数据报， 并向信源发送ICMP超时报告。 ICMP差错报文 3.参数出错报告 ICMP参数出错报告，报告错误的数据报报头和错误的数据报选项参数。如果参数错 误严重，网关或主机不得不将报文抛弃，并向信源发送出错报文。ICMP参数出错报告的 功能是很弱的。 ICMP控制报文 IP层控制主要包括拥塞控制与路径控制，ICMP为之提供了相应的控制报文。 1.拥塞控制与源抑制报文 对于无连接的传输来说，由于网关不事先为数据报分配缓冲区，可能出现大量的数 据在某些时刻拥入同一网关的事情，此时网关可能被淹没，这就是所谓拥塞。造成拥 塞的原因有二：其一，网关的处理速度太慢，不能完成数

42、据报排队、表格刷新等日常 各项工作；其二，网关输入数据的速率大于输出数据的容量，当许多数据同时通过同 一网关转发时就可能发生这种事情。不论属于何种拥塞，本质上都是因为网关没有足 够的缓冲区。而当网关有充足的缓冲区时，它总能容纳从四面八方拥入的信息，并从 容排队、处理、转发，犹如一个巨大的蓄洪区那样。 很容易与拥塞控制混淆的概念是流量控制。流量控制要解决的是点对点传输速率的 匹配问题。比如在两台直接连接的计算机之间传送数据，发送方发送数据的速率大于 接收方接收数据的速率，必然导致传输错误。这属于流量控制要解决的问题。流控是 局部的，而拥塞控制是全局性质的。拥塞可能出现在一个网关，也可能出现在几个

43、网 关甚至是全部网关。总之，拥塞可能影响整个网络的数据传输，并且拥塞的解决可能 要由全部机器共同参与。 ICMP控制报文 拥塞控制的方法很多，TCP/IP采用“源抑制（source quench）”技术。所谓源抑制就是抑 制信源机发送数据的速率。源抑制包括三个阶段。 第一个阶段：网关周期性地测试每条输出线路，一旦发现某条输出线路拥塞，立即向 相应的源发送机发出ICMP源抑制报文。 第二个阶段：信源机收到抑制报文后，按一定的速率降低发往某信宿的数据报传输率。 第三个阶段：拥塞解除后，信源机要恢复数据报传输速率。恢复的过程跟ICMP无关， 完全由主机自动完成。方法是，在上面所提到的时间间隔内，假如

44、没有源抑制报文到达， 主机便认为拥塞已经解除，主机可以逐渐恢复数据报流量。 ICMP控制报文 2.路径控制与重定向报文 网间网的路径是由主机和网关上的路径表决定的，其中网关寻径表起着决定作用，各 主机寻径表信息绝大部分来自于同一网络中的网关。TCP/IP的原则是，假定网关知道正确 的路径，主机启动时只知道最少的寻径信息，启动后在数据传输过程中不断从网关获得新 路径信息。问题是，主机如何从网关处获得路径信息；而当路径发生变化后，网关如何通 知其它网关以保持路径的正确性。对后一问题的回答是网关间周期性地交换路径信息，即 可保证网关寻径表的正确性。 ICMP控制报文 现在回到第一个问题，主机是通过网

45、关向它发送ICMP重定向报文来获得路径信息的。 主机启动时，在其寻径表中产生初始网关信息，主机通过初始网关将数据报发送出去；但 经过初始网关的路径不一定是最优的，初始网关一旦发现另有最优路径时，它一方面将正 在传送中的数据报继续转发出去，另一方面便向主机发送一个路径重定向报文，告诉主机 去往相应信宿的最优路径，主机于是立即修改相应路径。这个过程会一直进行下去：主机 通过当时的最优路径发送报文，而最优路径上的网关不断地搜寻更优路径，一旦发现有更 优路径，一方面把正在传送的数据报发送出去，同时又向主机发送去往相应信宿的更优路 径，主机于是立即修改相应路径。这样主机开机后经过不断积累便能掌握越来越多

46、的最优 路径信息，其寻径表逐渐得到充实。 ICMP重定向机制的优点是保证主机拥有一个动态的、 既小且优的寻径表。遗憾的是，ICMP重定向机制只能用于同一网络的网关与主机之间， 对网关之间的路径刷新它是无能为力的。 ICMP请求/应答报文对 ICMP差错报文和ICMP控制报文都是单向传输的，其发送方向总是从网关（或许还有信 宿主机）指向信源机。以请求/应答对形式出现的ICMP双向报文，其目的在于获取某些有用 信息，以便进行故障诊断和网络控制。 1.回应请求与应答 回应请求/应答对用于测试信宿机的可到达性。请求者（某机器）向特定信宿机发送一个 回应请求报文，报文中包含一个任选的数据区；信宿机发回相

47、应的回应应答报文，其中包含 一个请求中任选数据的拷贝。因为同一机器可以同时向若干信宿机发出请求，为了确定哪一 条路径是畅通的，故使用“标识符”域和“序号”域来匹配请求与应答。 回应请求与回应应答均以IP数据报形式在网间网中传输，如果应答中的数据拷贝与请求 中的任选数据完全一致，则表示成功地收到一个应答，不但说明信宿机可以到达，而且说明 数据报传输系统的相当部分工作正常，至少信源机与信宿机的ICMP软件和IP软件工作正常， 请求与应答经过的中间网关也能正常寻径。在许多TCP/IP实现中，用户命令ping便是利用 ICMP回应请求/应答报文测试信宿机可到达性的。 ICMP请求/应答报文对 2.时截

48、请求与应答 网间网中各机器基本上都是独立运行的，为避免时钟相差太大，TCP/IP提供了一些用于 时钟同步的协议，其中最简单的一种就是使用ICMP时截请求/应答报文。 时截请求/应答报文的类型域值为13时是时截请求报文，为14时是应答报文。信源机在 请求报文的“初始时截”域中填好发出请求的时间，立即将报文发出。信宿机收到请求报 文时，记住此时间，然后构造应答报文，在“接收时截”域中填入收到请求报文的时间， 在“发送时截域”中填入发送回应的时间，之后，立即将应答报文发回。 信源机收到应答报文后，记住收到应答报文的时间。信源机计算收到应答报文的时间与 初始时截域中的时间之差（这两个时间都是信源机的时

49、钟时间），得到报文往返的时间与 信宿机从收到请求报文到发出应答报文的时间之和，设为X。发送时截域中的时间减去接 收时截域中的时间（这两个时间都是以信宿机的时钟为标准的），其值为信宿机的处理时 间，设为Y。X-Y之值是报文在信源机与信宿机之间往返传送的时间。（X-Y）/2之值，便 是报文单程传送时间，此单程传送时间加上初始时截域中的时间，得到报文到达信宿机的 时间，这个时间是以信源机的时钟为标准的。将此时间与接收时截域中的时间比较，推算 出信源机与信宿机的时钟差值，因为接收时截域中的时间是以信宿机的时钟为标准的。信 源机利用此时钟差值修改自己的时钟，使之与信宿机时钟同步。 ICMP请求/应答报文

50、对 3.地址模请求与应答 使用掩码，可以将同一个IP网络号所能容纳的一个物理网络再分为几个物理网络，每个 物理网络都称为一个子网。为区分每个子网，必须使用IP地址的主机号部分的一些高位来 标识。与IP地址的标准格式（网络号主机号）不同，IP地址主机号中的子网结构是非标准 的，称子网模（subnet mask），不同网络的子网模各不相同。为了正确地解释子网地址， 主机向网关发出地址模请求，网关发回相应应答。 上面讨论了IP协议中的一个子协议，ICMP协议。ICMP为网关与主机之间的通信提供了一 种简洁实用的手段，它是IP协议中不可缺少的部分。ICMP报文分为三类。其中，差错报告 和控制报文一般用

51、于网关向主机发送信息，而请求/应答报文则用于随意的主机与主机之间 的信息传送。 PING的过程 Tracert的过程 IGMP（Internet组管理协议） 定义：该协议运行于主机和与主机直接 相连的组播路由器之间，是IP主机用来报告 多址广播组成员身份的协议。通过IGMP协 议，一方面可以通过IGMP协议主机通知本 地路由器希望加入并接收某个特定组播组的 信息；另一方面，路由器通过IGMP协议周 期性地查询局域网内某个已知组的成员是否 处于活动状态。 应用：IGMP协议的主要作用是解决网 络上广播时占用带宽的问题。在网络中，当 给所有客户端发出广播信息时，支持IGMP 的交换机会将广播信息不

52、经过滤地发给所有 客户端。但是这些信息只需要通过组播的方 式传输给某一个部分的客户端。 IGMP格式 IGMP报文 IP首部（20字节） IP数据报 16位校验和4位IGMP未用 32位组地址（D类IP地址） 4位IGRP 小结 路由器的工作原理 IP协议 ARP协议 RARP协议 ICMP协议 IGMP协议 网桥 网桥（Bridge）又称桥接器，它工作在OSI参考模型的数据链路层。网桥是一种存储转 发设备，它在相同（使用相同的MAC协议）或不同类型（LLC子层协议相同，而MAC子 层协议不同）的局域网之间转发数据帧，并提供数据链路层协议的转换。它并不对网络层 的头部进行检查，因此可以转发任何

53、网络数据（IP、IPX）。网桥可以连接不同物理层协 议的局域网，如不同的拓扑结构、不同的传输介质、不同的编码方案和不同的通信协议等 。用网桥将多个局域网互连而成的网络，属于同一个逻辑网络。也就是说，在这个网络上 的所有站点都具有相同的网络地址。 一个单位有若干部门，各部门根据自己的需要选用了不同的局域网。各部门之间需要 交换信息、共享资源；需要构成支持整个单位管理信息系统的局域网环境。因此，需要将 这些局域网互连起来，以实现局域网之间的透明通信。在局域网环境中，桥接技术是一种 比较传统的互连技术。网桥在数据链路层进行网络互连。数据链路层又分为LLC和MAC 两个子层。不同局域网技术的MAC子层

54、各不相同，但是采用相同的地址编码，其帧格式 也大都相同或相近。网桥实际上是在LLC子层对网络进行互连。 网桥 1.网桥的基本特性 （1）网桥工作在数据链路层，它与网络层以上协议无关，能转发任何网络层协议的数据流。 （2）使用网桥能够互连两个采用相同或不同数据链路层协议、两个相同或不同传输介质与不 同传输速率的网络。使用网桥互连的网络在数据链路层以上必须采用相同的协议。 （3）网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信。 （4）网桥可以过滤和分割两个网络之间的广播通信量，使得局域网的流量限制在一个分段内 ，从而减少了每个分段上的负荷，有利于改善互连网络的整体性能。 （5）网桥

55、也能隔离一个物理网段的故障，使之不会扩展到其它网段，影响其它网段的正常运 行。 （6）互连的各个局域网可以根据自己的需要，单独采取安全和保密措施。 网桥 2.网桥的类型 根据网桥的路径选择算法、网桥的工作层次和网桥所能驱动的传输距离，可以将网桥分 为透明网桥、源路由桥、MAC桥、LLC桥、本地桥和远程桥几种类型。 （1）透明网桥（Transparent Bridge）。透明桥遵从IEEE 802.1标准，支持IEEE 802.1D生成树 （Spanning tree）协议，因此它又被称为生成树桥。透明网桥通过一个内部转发地址表进 行路径选择，它的存在和操作对网络站点是完全透明的。透明网桥通过逆

56、向学习法 （Backward learning）建立和维护一个内部地址转换表，表中的信息指示每个网络站点的 MAC地址与网桥端口的对应关系。 透明网桥主要用于连接不同传输介质、不同传输速率的以太网，IEEE 802.3和IEEE 802.4 工作小组都采用透明桥方案。它的主要优点是易于安装，不用做任何配置，就能正常工作。 透明网桥的不足之处是不能充分利用网络资源，且选定的路径不一定是最佳的。在互连的 网络较多时，生成树算法可能需要较长的时间。 网桥 （2）源路由桥（source-route Bridge）。源路由桥采用与透明桥不同的路径选择方案，路径 选择由发送数据帧的源站负责。源站点通过广播

57、“查找帧”的方式，获得到达目的站点的 最佳路径。在每个帧中都携带着这个路由信息，途经的网桥设备会从帧头中获得最佳路径， 并按这个路径将数据帧转发到目的站点。源路由桥主要用于连接IEEE 802.5令牌环网。 网桥 （3）MAC网桥。根据网桥工作在局域网数据链路层的哪一个功能子层，也可将网桥分为 MAC桥和LLC桥。MAC桥是工作在介质访问控制（MAC）子层的网络互连设备，它只 能互连具有相同MAC协议的同类局域网，如：IEEE 802.3与IEEE 802.3或IEEE 802.5与 IEEE 802.5局域网的连接。 （4）LLC网桥。LLC桥又称为混合桥，它作用于逻辑链路控制（LLC）子层

58、。LLC桥能够 连接采用不同MAC协议的异类局域网，如：IEEE 802.3以太网与IEEE 802.5令牌环网的 互连。 （5）本地桥和远程桥。根据网桥的传输距离，网桥又分为本地桥（Local Bridge）和远程桥 （Remote Bridge）。本地桥用于连接近距离局域网的网桥。远程桥具有广域网连接能力， 能够实现局域网的远程连接，如无线网桥。 路由器 路由器（Router）又称为选径器，是工作在OSI参考模型网络层的网络互连设备，可实 现网络层及其以下各层的协议转换。路由器能够在不同的网络之间转发数据包，并为数据 转发智能地选择最佳路径。路由器主要用于同类或不同类型局域网及广域网之间的

59、互连， 而这些网络都有不同的网络号，属于不同的逻辑网络。因此，路由器是连接不同逻辑子网 的设备。 路由器与网桥的比较 从概念上说，路由器与网桥类似，但他们之间有本质的区别。网桥工作在数据链路层， 路由器工作在网络层。网桥基于数据链路层的物理地址（即MAC地址）来确定是否转发数 据帧；而路由器则是根据网络层逻辑地址（在Internet中就是IP地址）中的目的网络地址， 决定数据转发的路径，并进行数据分组的转发。因此，用网桥互连起来的网络只能属于一 个单个的逻辑网，而路由器互连的是多个不同的逻辑网（子网）。每个逻辑子网具有不同 的网络地址。一个逻辑子网可以对应一个独立的物理网段，也可以不对应（如虚

60、拟网）。 其次，由于网桥作用于数据链路层，因此它没有隔离广播信息的能力；路由器可以隔离广 播信息，抑制广播风暴。因此，路由器比网桥和其他网络互连设备有更高的智能、更丰富 的功能、更强的异种网互连能力、更强的流量控制能力、更好的安全性和可管理维护性， 并为网络互连提供了更多的灵活性，是应用最为广泛的网络互连设备。即使在今天的交换 网络环境中，路由器技术仍然是一种不可缺少的技术。 路由器连接的物理网络可以是同类网，也可以是异类网。使用路由器能够很容易地实现 LAN-LAN、LAN-WAN、WAN-WAN和LAN-WAN-LAN等多种网络互连形式。国际互连网Internet， 就是使用路由器加专线技