第4章 网络层与IP协议-2

1、4.6 互联网控制报文协议互联网控制报文协议ICMP4.6.1 ICMP的作用与特点的作用与特点v 不能独立于IP单独存在（IP辅助协议），解决IP不可靠问题v 要封装成IP分组（长度576B），再传送给数据链路层。v 用于IP分组转发过程中检测错误，由路由器向源主机报告差错原因。v 不能纠正差错（只报告差错）v 传输层（高层）要得到可靠传输，需要采用其他机制来保证。4.6.2 ICMP报文类型和报文格式报文类型和报文格式ICMP报文类型报文类型报文类型报文类型种类种类差错报告目的站不可达数据报超时数据报参数错源站抑制路由重定向查询报文时间戳请求与应答回应请求与应答地址掩码请求与应答路由器查询

2、与通告4.6.2 ICMP报文类型和报文格式报文类型和报文格式ICMP报文报文格式格式4.6.3 ICMP差错报文差错报文1目的站不可达报文目的站不可达报文v 路由器不能找到正确的路由器/主机，分组转发失败，丢弃该分组。然后向源主机发出ICMP目的站不可达报文4.6.3 ICMP差错报文差错报文2源站抑制报文源站抑制报文v 路由器分组接收速率比转发速率快，缓冲区队列将会溢出，造成拥塞，此时向发送站发送“源站抑制”报文4.6.3 ICMP差错报文差错报文3路由重定向报文路由重定向报文v 路由器转发分组过程中，要将最有效的路由信息告知源主机，更新主机路由表（路由重定向报文）4.6.3 ICMP差错

3、报文差错报文3路由重定向报文路由重定向报文路由重定向报文格式代码值描 述0对特定网络重定向1对特定主机重定向2基于指定的服务类型对特定网络重定向3基于指定的服务类型对特定主机重定向4.6.3 ICMP差错报文差错报文4超时报文超时报文产生超时情况：产生超时情况：v 路由器转发分组时，TTL字段值减1后为0，则丢弃该分组，同时向源主机发送超时报文v 分组所有分段在限定时间内（当第1个分段到达，启动定时器）未能到达目的主机时（分组无法组装），若多个分组出现这种情况，导致目的主机不能接收新的分组，从而出现“死锁”，将丢弃接收到的分段，并向源主机发送超时报文4.6.3 ICMP差错报文差错报文5参数出

4、错报文参数出错报文v 路由器发现以上4种差错情况以外的错误字段，丢弃该分组，向源结点发送参数出错报文。4.6.4 ICMP查询报文查询报文类型类型类型名称类型名称代码代码报文名称报文名称13/14时间戳请求与应答0时间戳请求0时间戳应答8/0回应请求与应答0回应请求0回应应答17/18地址掩码请求与应答0地址掩码请求0地址掩码应答10/9路由器询问与通告0路由器询问0路由器通告ICMP查询报文的类型与代码说明查询报文的类型与代码说明4.6.4 ICMP查询报文查询报文1时间戳请求与应答时间戳请求与应答v 提供基本简单的网络时钟同步v 用来确定IP分组在两个机器之间往返所需时间（时钟同步）v 时

5、间戳：l 初始时间戳：源主机发出请求的时间l 接收时间戳：目的主机收到请求的时间l 发送时间戳：目的主机发送应答时间4.6.4 ICMP查询报文查询报文2回应请求与应答回应请求与应答测试能否到达目的主机/路由器（网络连通性）由主机发出请求，检查另一个主机能否可达（ping命令）4.6.4 ICMP查询报文查询报文3地址掩码请求与应答地址掩码请求与应答v 要得到网络子网掩码，主机向目标路由器发送地址掩码请求报文。路由器回送应答报文，向主机提供所需的掩码4路由器询问与通告路由器询问与通告v 主机要获取目标路由器是否正常工作，向目标路由器发送“询问与通告报文”。v 主机广播/多播“路由器询问报文”，

6、收到询问报文的路由器回送“通告报文”，广播其路由信息。v 在没有主机询问时，路由器也可以周期性地发送路由器通告报文，不仅通告自己的存在，而且通告它所知道的网络中所有路由器。4.6.5 ICMP报文的封装报文的封装v ICMP报文作为IP分组数据转发（被封装在IP分组的数据段中）v 包含ICMP报文的IP分组头的协议类型字段值设为：14.7 地址解析协议地址解析协议ARP4.7.1 IP地址与物理地址的映射地址与物理地址的映射v IP逻辑地址：实现不同物理网设备（主机、路由器等）地址统一v 分组数据包最终在物理网络上传输（使用物理地址MAC）TCP/IP中地址类型和层次关系4.7 地址解析协议地

7、址解析协议ARP4.7.1 IP地址与物理地址的映射地址与物理地址的映射地址地址映射方法：映射方法：v 静态映射（人工维护地址映射表） 不足：l 映射表不能及时反映网络设备变化l IP地址不变情况下更换了网卡，重新映射l 主机物理位置发生变化（IP地址不同），但物理地址不变v 动态映射（ARP建立映射）4.7.2 ARP地址解析协议地址解析协议v 从已知IP地址解析对应的物理地址（MAC）的映射关系过程（正向地址解析v RARP：从已知的物理地址解析对应的IP地址（反向地址解析协议）v 解析过程：使用ARP请求分组、应答分组4.7.3 ARP分组格式与封装分组格式与封装1ARP分组中各字段的作

8、用分组中各字段的作用（1）硬件类型：16位，物理网络类型（1-以太网）（2）协议类型：16位，网络协议类型（08000 x-IPv4协议）（3）硬件地址长度：8位，物理地址长度（6-以太网地址）（4）协议地址长度：8位，网络层地址长度（4-IPv4协议）（5）操作：16位，1-ARP请求分组；2-ARP应答分组（6）源（目的）结点MAC地址：6B，以太网源（目的）结点物理地址（7）源（目的）结点IP地址：4B，源（目的）结点IP地址（8）补充数据段：18B，ARP分组长度达到46B（最小帧64B要求）2ARP分组的封装分组的封装4.7.4 地址解析的工作过程地址解析的工作过程1地址解析的工作过

9、程地址解析的工作过程4.7.4 地址解析的工作过程地址解析的工作过程1地址解析的工作过程地址解析的工作过程代理ARP工作流程4.7.4 地址解析的工作过程地址解析的工作过程2本地本地ARP高速缓存高速缓存4.7.4 地址解析的工作过程地址解析的工作过程3ARP实用工具实用工具4.7.5 ARP欺骗与防范欺骗与防范1ARP协议缺陷协议缺陷v ARP高速缓存根据所接收的ARP协议包，随时进行动态更新；v ARP协议无需连接，任意主机在无ARP请求时，也可以做出应答；v ARP协议没有认证机制，只要接收的协议包有效，主机无条件根据协议包内容刷新本机ARP缓存，并不检查该协议包的合法性4.7.5 AR

10、P欺骗与防范欺骗与防范2ARP欺骗过程欺骗过程4.7.5 ARP欺骗与防范欺骗与防范3. ARP欺骗欺骗的的防范防范（1）静态绑定（常用方法）：静态绑定IP和MAC，解决内网PC欺骗。 在网关做相同绑定（双重绑定） arp -s IP地址地址 MAC地址地址 （2）ARP防护软件：常用工具Antiarp（以一定频率广播正确ARP信息）（3）使用具有ARP防护功能路由器4.8 移动移动IP协议协议4.8.1 移动移动IP协议基本概念协议基本概念v 移动IP结点：主机从一个链路（网络）移动到另一个链路（网络）v 移动结点在不同网络之间移动，随接入位置变化，接入点也不断改变v 原分配IP地址已不能反

11、映目前所在网络位置（路由发生变化），不能继续使用原地址1992年，IETF制定移动IPv4标准草案，1996年正式公布4.8.2 移动移动IP设计目标与主要特征设计目标与主要特征1移动移动IP设计目标设计目标v 在改变接入点时（不同网络/传输介质间移动)，不必改变其IP地址，保持移动过程中通信连续性（解决移动结点分组转发）解决两个基本问题解决两个基本问题：v 通过一个永久IP地址，连接到任何链路上v 切换到新的链路时，仍能够保持与通信对端主机的正常通信2移动移动IP协议基本要求协议基本要求v 改变网络接入点，继续使用原IP地址，与互联网其他结点通信。v 无需修改协议，能与其他不具备移动IP功能

12、结点通信v 使用无线方式接入（无线信道带宽、误码率、电池供电等因素），应简化协议，减少协议开销，提高协议效率。v 不应该比互联网中其他结点受到更大的安全威胁。3. 移动移动IP协议的基本特征协议的基本特征v 与现有的互联网协议兼容。v 与底层所采用的物理传输介质类型无关。v 对传输层及以上的高层协议是透明的。v 应该具有良好的可扩展性、可靠性和安全性。4.8.3 移动移动IP的结构与基本术语的结构与基本术语1移动移动IP结构结构4.8.3 移动移动IP的结构与基本术语的结构与基本术语2移动移动IP的基本术语的基本术语v 家乡地址（home address）家乡网络为每个移动结点分配的一个长期有

13、效IP地址。v 转交地址（care-of address）当移动结点接入一个外地网络时，被分配的一个临时IP地址。v 家乡网络（home network）为移动结点分配长期有效的IP地址网络（目的地址为家乡地址的IP分组，以标准的IP路由机制发送到家乡网络。2移动移动IP的基本术语的基本术语v 家乡链路（home link）移动结点在访问家乡网络时接入的本地链路 。v 外地链路（foreign link）移动结点在访问外地网络时接入的链路。（家乡链路与外地链路比家乡网络与外地网络更精确地表示出了移动结点所接入的位置）v 移动绑定（mobility binding）家乡网络维护移动结点的家乡网络

14、与转交地址的关联。2移动移动IP的基本术语的基本术语隧道（tunnel）v 家乡代理通过隧道将发送给移动结点的IP分组转发到移动结点v 隧道一端为家乡代理，另一端通常为外地代理（也可能是移动结点）使用隧道传输移动结点的IP分组2移动移动IP的基本术语的基本术语隧道（tunnel）v 原始IP分组数据要从家乡代理转发到移动结点，其源IP地址为发送该IP分组的结点地址，目的IP地址为移动结点的IP地址。v 家乡代理路由器在转发之前需要加上外层报头。外层报头的源IP地址为隧道入口的家乡代理地址，目的IP地址为隧道出口的外地代理的地址。v 在隧道传输过程中，中间的路由器看不到移动结点的家乡地址。4.8

15、.4 移动移动IPv4的工作原理的工作原理移动移动IP工作过程工作过程4个阶段：个阶段：代理发现、注册、分组路由、注销1代理发现（代理发现（agent discovery）v 定义“代理通告”、“代理请求”报文（扩展ICMP路由发现机制来实现）4.8.4 移动移动IPv4的工作原理的工作原理2注册（注册（registration）v 移动结点到达新网络，要将自己可达信息通知家乡代理（通过注册）v 注册过程涉及移动结点、外地代理、家乡代理v 通过交换注册报文，在家乡代理创建/修改“移动绑定”，使家乡代理在规定的生存期内保持移动结点家乡地址与转交地址的关联。注册目的注册目的v 使移动结点获得外地代

16、理的转发服务。v 使家乡代理知道移动结点当前的转交地址。v 家乡代理更新即将过期的移动结点注册、或注销回到家乡的移动结点。4.8.4 移动移动IPv4的工作原理的工作原理注册注册过程过程通过外地代理转发注册请求移动结点直接到家乡代理注册4.8.4 移动移动IPv4的工作原理的工作原理3分组路由（分组路由（packet routing）移动移动IP路由：路由：单播、广播、多播（1）单播路由分组）单播路由分组v 移动结点接收单播分组v 移动结点发送单播分组l 通过外地代理路由l 通过家乡代理转发4.8.4 移动移动IPv4的工作原理的工作原理3分组路由（分组路由（packet routing）（2）广播路由分组）广播路由分组v 一般情况下，家乡代理不广播数据分组到移动绑定列表中每个移动结点v 如果移动结点已请求转发广播数据分组，则家乡代理将采取“IP封装”的方法进行转发3分组路由（分组路由（packet routing）（3）多播路