因特網(wǎng)層協(xié)議

在DoD模型中，因特網(wǎng)層的作用有兩個:路由選擇以及提供單個到上層的網(wǎng)絡(luò)接口。其他層的協(xié)議都沒有提供與路由選擇相關(guān)的功能，這個復(fù)雜而重要的任務(wù)完全由因特網(wǎng)層完成。因特網(wǎng)層的第二項職責(zé)是提供單個到上層協(xié)議的網(wǎng)絡(luò)接口。如果沒有這一層,應(yīng)用程序開發(fā)人員將需要在每個應(yīng)用程序中編寫到各種網(wǎng)絡(luò)接人協(xié)議的“鉤子”。這不僅麻煩，還將使應(yīng)用程序需要有多個版本一以太網(wǎng)版本、 無線版本等。為避免這個問題，IP提供了單個到上層協(xié)議的網(wǎng)絡(luò)接口。這樣,IP將和各種網(wǎng)絡(luò)接人協(xié)議協(xié)同工作。

在網(wǎng)絡(luò)中，并非條條道路通羅馬，而是條條道路通IP,因特網(wǎng)層以及上層的所有協(xié)議都使用IP ,千萬不要忘記這一點。在DoD模型中，所有路徑都穿越IP。接下來的幾節(jié)將介紹因特網(wǎng)層協(xié)議:

• 因特網(wǎng)協(xié)議(IP );
• 因特網(wǎng)控制消息協(xié)議( ICMP );
• 地址解析協(xié)議( ARP );
• 逆向地址解析協(xié)議( RARP );
• 代理ARP;
• 免費ARP。

1. IP

IP ( Internet Protocol, 因特網(wǎng)協(xié)議)就相當(dāng)于因特網(wǎng)層，該層的其他協(xié)議都只是為它提供支持。IP掌控全局，可以說“-切盡收它眼底”，從這種意義上說，它了解所有互聯(lián)的網(wǎng)絡(luò)。它之所以能夠這樣，是因為網(wǎng)絡(luò)中的所有機器都有-一個軟件(邏輯)地址，這種地址稱為IP地址。

IP查看每個分組的地址，然后使用路由選擇表判斷接下來應(yīng)將分組發(fā)送到哪里，從而選擇最佳路徑。在DoD模型底部的網(wǎng)絡(luò)接人層協(xié)議不像IP那樣胸懷整個網(wǎng)絡(luò),它們只處理物理鏈路(本地網(wǎng)絡(luò))。

要標(biāo)識網(wǎng)絡(luò)中的設(shè)備，需要回答兩個問題:設(shè)備位于哪個網(wǎng)絡(luò)中?它在該網(wǎng)絡(luò)中的ID是多少?

對于第一個問題，答案是軟件(邏輯)地址(正確的街道);對于第二個問題，答案是硬件地址(正確的郵箱)。網(wǎng)絡(luò)中的所有主機都有一個邏輯ID,稱為IP地址，它屬于軟件(邏輯)地址，包含寶貴的編碼信息，極大地簡化了路由選擇這種復(fù)雜的任務(wù)。( RFC 791討論了IP。)

IP接收來自主機到主機層的數(shù)據(jù)段，并在必要時將其劃分成數(shù)據(jù)報(分組)。在接收端，IP 將數(shù)據(jù)報重組成數(shù)據(jù)段。每個數(shù)據(jù)報都包含發(fā)送方和接收方的IP地址，路由器(第3層設(shè)備)收到數(shù)據(jù)報后，將根據(jù)分組的目標(biāo)IP地址做出路由選擇決策。

圖3-7顯示了IP報頭，這可讓你對如下方面有大概認(rèn)識:每當(dāng)上層發(fā)送用戶數(shù)據(jù)時，IP 協(xié)議都將如何做，為將數(shù)據(jù)發(fā)送到遠(yuǎn)程網(wǎng)絡(luò)做好準(zhǔn)備。

IP報頭包含如下字段：

• 版本IP版本號。
• 報頭長度報頭的長度， 單位為32位字。
• 優(yōu)先級和服務(wù)類型服 務(wù)類型指出應(yīng)如何處理數(shù)據(jù)報。前3位為優(yōu)先級位，當(dāng)前稱為區(qū)分服務(wù)位。
• 總長度整個分組的長度，包括報頭和數(shù)據(jù)。
• 標(biāo)識唯一的IP分組值，用于區(qū)分不同的數(shù)據(jù)報。
• 標(biāo)志指出是否進行了分段。
• 分段偏移在分組太大，無法放人一個幀中時，提供了分段和重組功能。它還使得因特網(wǎng)上可有不同的MTU ( Maximum Transmission Unit,最大傳輸單元)。
• 存活時間生成分組時給 它指定的存活時間。如果分組到達(dá)目的地之前TTL就已到期，分組將被丟棄。這可避免IP分組因?qū)ふ夷康牡夭粩嘣诰W(wǎng)絡(luò)中傳輸。
• 協(xié)議上層協(xié)議的端口( TCP為端口6, UDP為端口7 )。還支持網(wǎng)絡(luò)層協(xié)議，如ARP和ICMP (在有些分析器中，該字段稱為類型字段)。稍后我們將更詳細(xì)地討論該字段。
• 報頭校驗和對報 頭執(zhí)行CRC的結(jié)果。
• 源IP地址發(fā)送方的32位IP地址。
• 目標(biāo)IP地址接收方的32位IP地址。
• 選項用于網(wǎng)絡(luò)測試、 調(diào)試、安全等。
• 數(shù)據(jù)位于選項字段后, 為上層數(shù)據(jù)。

下面是網(wǎng)絡(luò)分析器捕獲的一個P分組。注意，其中包含前面討論的所有報頭信息。

類型(Type)字段很重要，該字段通常為協(xié)議字段，但這個分析器將其視為IP Type字段。如果報頭沒有包含有關(guān)下一層的協(xié)議信息，IP 將不知道如何處理分組中的數(shù)據(jù)。在前面的示例中，類型字段告訴IP將數(shù)據(jù)段交給TCP。

圖3-8說明了在網(wǎng)絡(luò)層需要將分組交給上層協(xié)議時，它如何獲悉傳輸層使用的協(xié)議。

在這個示例中，協(xié)議字段告訴IP將數(shù)據(jù)發(fā)送到TCP端口6或UDP端口17。然而，如果數(shù)據(jù)是發(fā)送給上層服務(wù)或應(yīng)用程序的，將要么是UDP,要么是TCP。數(shù)據(jù)也可能是發(fā)送給因特網(wǎng)控制消息協(xié)議( ICMP )地址解析協(xié)議( ARP )或其他類型的網(wǎng)絡(luò)層協(xié)議的。

表3-3列出了其他一些可能在協(xié)議字段中指定的常見協(xié)議。

注意：有關(guān)協(xié)議字段可包含的協(xié)議號完整列表，請參閱www.iana.org/assignments/protocol-numbers。

2. ICMP

ICMP ( Internet Control Message Protocol,因特網(wǎng)控制消息協(xié)議)運行在網(wǎng)絡(luò)層，IP 使用它來獲得多服務(wù)。ICMP是一種管理協(xié)議，為IP提供消息收發(fā)服務(wù)，其消息是以IP數(shù)據(jù)報的形式傳輸?shù)摹FC 1256是一個ICMP附件，給主機提供了發(fā)現(xiàn)前往網(wǎng)關(guān)的路由的功能。

ICMP分組具有如下特征：

• 可向主機提供有關(guān)網(wǎng)絡(luò)故障的信息;
• 封裝在IP數(shù)據(jù)報中。

下面是一些與ICMP相關(guān)的常見事件和消息。

▶ 目標(biāo)不可達(dá)如果路由器不能再向前轉(zhuǎn)發(fā)IP 數(shù)據(jù)報，它將使用ICMP向發(fā)送方發(fā)送一條消息，以通告這種情況。例如，如圖3-9所示，其中路由器Lab_B 的接口E0出現(xiàn)了故障。

主機A將分組發(fā)送給主機B時，Lab_B 路由器將向主機A發(fā)回一條ICMP目標(biāo)不可達(dá)消息。

▶ 緩沖區(qū)已滿如果用于接收數(shù)據(jù)報 的路由器內(nèi)存緩沖區(qū)已滿，路由器將使用ICMP發(fā)送這種消息，直到擁塞解除。

▶ 超過跳數(shù)/時間對于每個IP 數(shù)據(jù)報，都指定了它可穿越的最大路由器數(shù)量(跳數(shù))。如果數(shù)據(jù)報還未達(dá)到目的地就達(dá)到了該上限，最后一臺收到該數(shù)據(jù)報的路由器將把它刪除。然后，該路由器將使用ICMP發(fā)送一條訃告， 讓發(fā)送方知道其數(shù)據(jù)報已被刪除。

▶ Ping Packet Intermet Groper ( Ping)使用ICMP回應(yīng)請求和應(yīng)答消息，以檢查互聯(lián)網(wǎng)絡(luò)中機器的物理連接性和邏輯連接性。

▶ Traceroute Traceroute 使用ICMP超時來發(fā)現(xiàn)分組在互聯(lián)網(wǎng)絡(luò)中傳輸時經(jīng)過的路徑。

注意：Ping和Traceroute (也叫Trace, Microsoft Windows稱之為tracert)都讓你能夠驗證互聯(lián)網(wǎng)絡(luò)的地址配置。

下面是網(wǎng)絡(luò)分析器捕獲的一個ICMP回應(yīng)請求

注意，其中有什么異常的地方了嗎?雖然ICMP運行在因特網(wǎng)(網(wǎng)絡(luò))層，它仍使用IP 來發(fā)出Ping請求，你注意到這一點了嗎?在P報頭中，類型字段的值為0x01，這表明數(shù)據(jù)報中的數(shù)據(jù)屬于ICMP協(xié)議。別忘了，條條道路通羅馬，同樣，所有數(shù)據(jù)段或數(shù)據(jù)都必須通過IP傳送。

注意：在分組的數(shù)據(jù)部分，程序Ping將字母用作有效負(fù)載，且有效負(fù)載通常默認(rèn)為約100B。當(dāng)然，如果從Windows主機執(zhí)行Ping操作，它將認(rèn)為字母表在W處結(jié)束，而不使用X、Y和Z，因此到達(dá)這種字母表末尾后，將從A重新開始。你可以驗證這一點。

如果你閱讀了第2章有關(guān)數(shù)據(jù)鏈路層和各種幀的內(nèi)容，將能通過前面的輸出獲悉使用的是哪種以太網(wǎng)幀。其中只顯示了字段目標(biāo)硬件地址、源硬件地址和以太類型( Ether-Type),而只有Ethernet_ II幀使用以太網(wǎng)類型字段。

在深入介紹ARP協(xié)議前，我們來看看ICMP的另- -種用途。圖3-10顯示了一個互聯(lián)網(wǎng)絡(luò)(它包含一臺路由器，因此是互聯(lián)網(wǎng)絡(luò))。Serverl ( 10.1.2.2)在DOS提示符模式下遠(yuǎn)程登錄到10.1.1.5, 你認(rèn)為Server1將收到什么樣的響應(yīng)呢?由于Serverl將把Telnet數(shù)據(jù)發(fā)送到默認(rèn)網(wǎng)關(guān)(這是一臺路由器 ),后者將丟棄該分組，因為其路由選擇表中沒有網(wǎng)絡(luò)10.1.1.0。因此，Server1 將收到ICMP目標(biāo)不可達(dá)消息。

3. ARP

ARP ( Address Resolution Protocol, 地址解析協(xié)議)根據(jù)已知的IP地址查找主機的硬件地址，其工作原理如下: IP 需要發(fā)送數(shù)據(jù)報時，它必須將目標(biāo)端的硬件地址告知網(wǎng)絡(luò)接入層協(xié)議，如以太網(wǎng)或無線。(上層協(xié)議已經(jīng)將目標(biāo)端的IP地址告訴它。)如果IP在ARP緩存中沒有找到目標(biāo)主機的硬件地址，它將使用ARP獲悉這種信息。

作為IP的偵探，ARP這樣詢問本地網(wǎng)絡(luò):發(fā)送廣播，要求有特定IP地址的機器使用其硬件地址進行應(yīng)答。因此，ARP基本上是將軟件(IP )地址轉(zhuǎn)換為硬件地址，如目標(biāo)主機的以太網(wǎng)網(wǎng)卡地址，然后通過廣播獲悉該地址在LAN中的位置。圖3-11顯示了本地網(wǎng)絡(luò)中的ARP。

!注意：ARP將IP地址解析為以太網(wǎng)(MAC)地址。

下面的輸出表示一個ARP廣播。注意，由于不知道目標(biāo)硬件地址，因此將其十六進制表示設(shè)置為全F (二進制表示全為1),這是一個硬件地址廣播：

4. RARP

如果IP主機為無盤計算機，一開始它不知道自己的IP地址，但知道自己的MAC地址。無盤機器可使用如圖3-12所示的RARP ( Reverse Address Resolution Protocol,逆向地址解析協(xié)議)來獲悉其IP地址，這是通過發(fā)送一個分組實現(xiàn)的，該分組包含無盤計算機的MAC地址和一個請求(請求提供分配給該MAC地址的IP地址)。名叫RARP服務(wù)器的專用機器將對此作出響應(yīng),從而解決身份危機。RARP使用它知道的信息( 即機器的MAC地址)來獲悉機器的IP地址,從而完成身份標(biāo)識。

注意：RARP將以太網(wǎng)(MAC)地址解析為IP地址。

5. 代理ARP

在網(wǎng)絡(luò)中，我們不能給主機配置多個默認(rèn)網(wǎng)關(guān)。請想-想，如果默認(rèn)網(wǎng)關(guān)(路由器)發(fā)生故障,結(jié)果將如何呢?主機不能自動將數(shù)據(jù)發(fā)送給另一臺路由器，而你必須重新配置主機。但代理ARP可幫助主機前往遠(yuǎn)程子網(wǎng)，而無需配置路由選擇甚至默認(rèn)網(wǎng)關(guān)。

使用代理ARP的優(yōu)點之一是，我們可在網(wǎng)絡(luò)中的- -臺路由器上啟用它，而不影響網(wǎng)絡(luò)中其他路由器的路由選擇表。然而，使用代理ARP也存在一個嚴(yán)重的缺陷:使用代理ARP將增加網(wǎng)段中的流量,而為處理所有的IP地址到MAC地址的映射，主機的ARP表比通常情況下大。默認(rèn)情況下，所有思科路由器都配置了代理ARP，如果你認(rèn)為自己不會使用它，應(yīng)將其禁用。

有關(guān)代理ARP的最后一點是，代理ARP并非一種獨立的協(xié)議，而是路由器代表其他設(shè)備(通常是PC)運行的一種服務(wù)，路由器禁止這些設(shè)備查詢遠(yuǎn)程設(shè)備，雖然在這些設(shè)備看來，它們與遠(yuǎn)程設(shè)備位于同一個子網(wǎng)中。

這讓路由器能夠在響應(yīng)ARP查詢時提供自己的MAC地址,從而將遠(yuǎn)程IP地址解析為有效的MAC地址。