第4章 網(wǎng)絡層及IP協(xié)議-2

1、4.6 互聯(lián)網(wǎng)控制報文協(xié)議互聯(lián)網(wǎng)控制報文協(xié)議ICMP4.6.1 ICMP的作用與特點的作用與特點v 不能獨立于IP單獨存在（IP輔助協(xié)議），解決IP不可靠問題v 要封裝成IP分組（長度576B），再傳送給數(shù)據(jù)鏈路層。v 用于IP分組轉發(fā)過程中檢測錯誤，由路由器向源主機報告差錯原因。v 不能糾正差錯（只報告差錯）v 傳輸層（高層）要得到可靠傳輸，需要采用其他機制來保證。4.6.2 ICMP報文類型和報文格式報文類型和報文格式ICMP報文類型報文類型報文類型報文類型種類種類差錯報告目的站不可達數(shù)據(jù)報超時數(shù)據(jù)報參數(shù)錯源站抑制路由重定向查詢報文時間戳請求與應答回應請求與應答地址掩碼請求與應答路由器查詢

2、與通告4.6.2 ICMP報文類型和報文格式報文類型和報文格式ICMP報文報文格式格式4.6.3 ICMP差錯報文差錯報文1目的站不可達報文目的站不可達報文v 路由器不能找到正確的路由器/主機，分組轉發(fā)失敗，丟棄該分組。然后向源主機發(fā)出ICMP目的站不可達報文4.6.3 ICMP差錯報文差錯報文2源站抑制報文源站抑制報文v 路由器分組接收速率比轉發(fā)速率快，緩沖區(qū)隊列將會溢出，造成擁塞，此時向發(fā)送站發(fā)送“源站抑制”報文4.6.3 ICMP差錯報文差錯報文3路由重定向報文路由重定向報文v 路由器轉發(fā)分組過程中，要將最有效的路由信息告知源主機，更新主機路由表（路由重定向報文）4.6.3 ICMP差錯

3、報文差錯報文3路由重定向報文路由重定向報文路由重定向報文格式代碼值描 述0對特定網(wǎng)絡重定向1對特定主機重定向2基于指定的服務類型對特定網(wǎng)絡重定向3基于指定的服務類型對特定主機重定向4.6.3 ICMP差錯報文差錯報文4超時報文超時報文產(chǎn)生超時情況：產(chǎn)生超時情況：v 路由器轉發(fā)分組時，TTL字段值減1后為0，則丟棄該分組，同時向源主機發(fā)送超時報文v 分組所有分段在限定時間內(nèi)（當?shù)?個分段到達，啟動定時器）未能到達目的主機時（分組無法組裝），若多個分組出現(xiàn)這種情況，導致目的主機不能接收新的分組，從而出現(xiàn)“死鎖”，將丟棄接收到的分段，并向源主機發(fā)送超時報文4.6.3 ICMP差錯報文差錯報文5參數(shù)出

4、錯報文參數(shù)出錯報文v 路由器發(fā)現(xiàn)以上4種差錯情況以外的錯誤字段，丟棄該分組，向源結點發(fā)送參數(shù)出錯報文。4.6.4 ICMP查詢報文查詢報文類型類型類型名稱類型名稱代碼代碼報文名稱報文名稱13/14時間戳請求與應答0時間戳請求0時間戳應答8/0回應請求與應答0回應請求0回應應答17/18地址掩碼請求與應答0地址掩碼請求0地址掩碼應答10/9路由器詢問與通告0路由器詢問0路由器通告ICMP查詢報文的類型與代碼說明查詢報文的類型與代碼說明4.6.4 ICMP查詢報文查詢報文1時間戳請求與應答時間戳請求與應答v 提供基本簡單的網(wǎng)絡時鐘同步v 用來確定IP分組在兩個機器之間往返所需時間（時鐘同步）v 時

5、間戳：l 初始時間戳：源主機發(fā)出請求的時間l 接收時間戳：目的主機收到請求的時間l 發(fā)送時間戳：目的主機發(fā)送應答時間4.6.4 ICMP查詢報文查詢報文2回應請求與應答回應請求與應答測試能否到達目的主機/路由器（網(wǎng)絡連通性）由主機發(fā)出請求，檢查另一個主機能否可達（ping命令）4.6.4 ICMP查詢報文查詢報文3地址掩碼請求與應答地址掩碼請求與應答v 要得到網(wǎng)絡子網(wǎng)掩碼，主機向目標路由器發(fā)送地址掩碼請求報文。路由器回送應答報文，向主機提供所需的掩碼4路由器詢問與通告路由器詢問與通告v 主機要獲取目標路由器是否正常工作，向目標路由器發(fā)送“詢問與通告報文”。v 主機廣播/多播“路由器詢問報文”，

6、收到詢問報文的路由器回送“通告報文”，廣播其路由信息。v 在沒有主機詢問時，路由器也可以周期性地發(fā)送路由器通告報文，不僅通告自己的存在，而且通告它所知道的網(wǎng)絡中所有路由器。4.6.5 ICMP報文的封裝報文的封裝v ICMP報文作為IP分組數(shù)據(jù)轉發(fā)（被封裝在IP分組的數(shù)據(jù)段中）v 包含ICMP報文的IP分組頭的協(xié)議類型字段值設為：14.7 地址解析協(xié)議地址解析協(xié)議ARP4.7.1 IP地址與物理地址的映射地址與物理地址的映射v IP邏輯地址：實現(xiàn)不同物理網(wǎng)設備（主機、路由器等）地址統(tǒng)一v 分組數(shù)據(jù)包最終在物理網(wǎng)絡上傳輸（使用物理地址MAC）TCP/IP中地址類型和層次關系4.7 地址解析協(xié)議地

7、址解析協(xié)議ARP4.7.1 IP地址與物理地址的映射地址與物理地址的映射地址地址映射方法：映射方法：v 靜態(tài)映射（人工維護地址映射表） 不足：l 映射表不能及時反映網(wǎng)絡設備變化l IP地址不變情況下更換了網(wǎng)卡，重新映射l 主機物理位置發(fā)生變化（IP地址不同），但物理地址不變v 動態(tài)映射（ARP建立映射）4.7.2 ARP地址解析協(xié)議地址解析協(xié)議v 從已知IP地址解析對應的物理地址（MAC）的映射關系過程（正向地址解析v RARP：從已知的物理地址解析對應的IP地址（反向地址解析協(xié)議）v 解析過程：使用ARP請求分組、應答分組4.7.3 ARP分組格式與封裝分組格式與封裝1ARP分組中各字段的作

8、用分組中各字段的作用（1）硬件類型：16位，物理網(wǎng)絡類型（1-以太網(wǎng)）（2）協(xié)議類型：16位，網(wǎng)絡協(xié)議類型（08000 x-IPv4協(xié)議）（3）硬件地址長度：8位，物理地址長度（6-以太網(wǎng)地址）（4）協(xié)議地址長度：8位，網(wǎng)絡層地址長度（4-IPv4協(xié)議）（5）操作：16位，1-ARP請求分組；2-ARP應答分組（6）源（目的）結點MAC地址：6B，以太網(wǎng)源（目的）結點物理地址（7）源（目的）結點IP地址：4B，源（目的）結點IP地址（8）補充數(shù)據(jù)段：18B，ARP分組長度達到46B（最小幀64B要求）2ARP分組的封裝分組的封裝4.7.4 地址解析的工作過程地址解析的工作過程1地址解析的工作過

9、程地址解析的工作過程4.7.4 地址解析的工作過程地址解析的工作過程1地址解析的工作過程地址解析的工作過程代理ARP工作流程4.7.4 地址解析的工作過程地址解析的工作過程2本地本地ARP高速緩存高速緩存4.7.4 地址解析的工作過程地址解析的工作過程3ARP實用工具實用工具4.7.5 ARP欺騙與防范欺騙與防范1ARP協(xié)議缺陷協(xié)議缺陷v ARP高速緩存根據(jù)所接收的ARP協(xié)議包，隨時進行動態(tài)更新；v ARP協(xié)議無需連接，任意主機在無ARP請求時，也可以做出應答；v ARP協(xié)議沒有認證機制，只要接收的協(xié)議包有效，主機無條件根據(jù)協(xié)議包內(nèi)容刷新本機ARP緩存，并不檢查該協(xié)議包的合法性4.7.5 AR

10、P欺騙與防范欺騙與防范2ARP欺騙過程欺騙過程4.7.5 ARP欺騙與防范欺騙與防范3. ARP欺騙欺騙的的防范防范（1）靜態(tài)綁定（常用方法）：靜態(tài)綁定IP和MAC，解決內(nèi)網(wǎng)PC欺騙。 在網(wǎng)關做相同綁定（雙重綁定） arp -s IP地址地址 MAC地址地址 （2）ARP防護軟件：常用工具Antiarp（以一定頻率廣播正確ARP信息）（3）使用具有ARP防護功能路由器4.8 移動移動IP協(xié)議協(xié)議4.8.1 移動移動IP協(xié)議基本概念協(xié)議基本概念v 移動IP結點：主機從一個鏈路（網(wǎng)絡）移動到另一個鏈路（網(wǎng)絡）v 移動結點在不同網(wǎng)絡之間移動，隨接入位置變化，接入點也不斷改變v 原分配IP地址已不能反

11、映目前所在網(wǎng)絡位置（路由發(fā)生變化），不能繼續(xù)使用原地址1992年，IETF制定移動IPv4標準草案，1996年正式公布4.8.2 移動移動IP設計目標與主要特征設計目標與主要特征1移動移動IP設計目標設計目標v 在改變接入點時（不同網(wǎng)絡/傳輸介質(zhì)間移動)，不必改變其IP地址，保持移動過程中通信連續(xù)性（解決移動結點分組轉發(fā)）解決兩個基本問題解決兩個基本問題：v 通過一個永久IP地址，連接到任何鏈路上v 切換到新的鏈路時，仍能夠保持與通信對端主機的正常通信2移動移動IP協(xié)議基本要求協(xié)議基本要求v 改變網(wǎng)絡接入點，繼續(xù)使用原IP地址，與互聯(lián)網(wǎng)其他結點通信。v 無需修改協(xié)議，能與其他不具備移動IP功能

12、結點通信v 使用無線方式接入（無線信道帶寬、誤碼率、電池供電等因素），應簡化協(xié)議，減少協(xié)議開銷，提高協(xié)議效率。v 不應該比互聯(lián)網(wǎng)中其他結點受到更大的安全威脅。3. 移動移動IP協(xié)議的基本特征協(xié)議的基本特征v 與現(xiàn)有的互聯(lián)網(wǎng)協(xié)議兼容。v 與底層所采用的物理傳輸介質(zhì)類型無關。v 對傳輸層及以上的高層協(xié)議是透明的。v 應該具有良好的可擴展性、可靠性和安全性。4.8.3 移動移動IP的結構與基本術語的結構與基本術語1移動移動IP結構結構4.8.3 移動移動IP的結構與基本術語的結構與基本術語2移動移動IP的基本術語的基本術語v 家鄉(xiāng)地址（home address）家鄉(xiāng)網(wǎng)絡為每個移動結點分配的一個長期有

13、效IP地址。v 轉交地址（care-of address）當移動結點接入一個外地網(wǎng)絡時，被分配的一個臨時IP地址。v 家鄉(xiāng)網(wǎng)絡（home network）為移動結點分配長期有效的IP地址網(wǎng)絡（目的地址為家鄉(xiāng)地址的IP分組，以標準的IP路由機制發(fā)送到家鄉(xiāng)網(wǎng)絡。2移動移動IP的基本術語的基本術語v 家鄉(xiāng)鏈路（home link）移動結點在訪問家鄉(xiāng)網(wǎng)絡時接入的本地鏈路 。v 外地鏈路（foreign link）移動結點在訪問外地網(wǎng)絡時接入的鏈路。（家鄉(xiāng)鏈路與外地鏈路比家鄉(xiāng)網(wǎng)絡與外地網(wǎng)絡更精確地表示出了移動結點所接入的位置）v 移動綁定（mobility binding）家鄉(xiāng)網(wǎng)絡維護移動結點的家鄉(xiāng)網(wǎng)絡

14、與轉交地址的關聯(lián)。2移動移動IP的基本術語的基本術語隧道（tunnel）v 家鄉(xiāng)代理通過隧道將發(fā)送給移動結點的IP分組轉發(fā)到移動結點v 隧道一端為家鄉(xiāng)代理，另一端通常為外地代理（也可能是移動結點）使用隧道傳輸移動結點的IP分組2移動移動IP的基本術語的基本術語隧道（tunnel）v 原始IP分組數(shù)據(jù)要從家鄉(xiāng)代理轉發(fā)到移動結點，其源IP地址為發(fā)送該IP分組的結點地址，目的IP地址為移動結點的IP地址。v 家鄉(xiāng)代理路由器在轉發(fā)之前需要加上外層報頭。外層報頭的源IP地址為隧道入口的家鄉(xiāng)代理地址，目的IP地址為隧道出口的外地代理的地址。v 在隧道傳輸過程中，中間的路由器看不到移動結點的家鄉(xiāng)地址。4.8

15、.4 移動移動IPv4的工作原理的工作原理移動移動IP工作過程工作過程4個階段：個階段：代理發(fā)現(xiàn)、注冊、分組路由、注銷1代理發(fā)現(xiàn)（代理發(fā)現(xiàn)（agent discovery）v 定義“代理通告”、“代理請求”報文（擴展ICMP路由發(fā)現(xiàn)機制來實現(xiàn)）4.8.4 移動移動IPv4的工作原理的工作原理2注冊（注冊（registration）v 移動結點到達新網(wǎng)絡，要將自己可達信息通知家鄉(xiāng)代理（通過注冊）v 注冊過程涉及移動結點、外地代理、家鄉(xiāng)代理v 通過交換注冊報文，在家鄉(xiāng)代理創(chuàng)建/修改“移動綁定”，使家鄉(xiāng)代理在規(guī)定的生存期內(nèi)保持移動結點家鄉(xiāng)地址與轉交地址的關聯(lián)。注冊目的注冊目的v 使移動結點獲得外地代

16、理的轉發(fā)服務。v 使家鄉(xiāng)代理知道移動結點當前的轉交地址。v 家鄉(xiāng)代理更新即將過期的移動結點注冊、或注銷回到家鄉(xiāng)的移動結點。4.8.4 移動移動IPv4的工作原理的工作原理注冊注冊過程過程通過外地代理轉發(fā)注冊請求移動結點直接到家鄉(xiāng)代理注冊4.8.4 移動移動IPv4的工作原理的工作原理3分組路由（分組路由（packet routing）移動移動IP路由：路由：單播、廣播、多播（1）單播路由分組）單播路由分組v 移動結點接收單播分組v 移動結點發(fā)送單播分組l 通過外地代理路由l 通過家鄉(xiāng)代理轉發(fā)4.8.4 移動移動IPv4的工作原理的工作原理3分組路由（分組路由（packet routing）（2）廣播路由分組）廣播路由分組v 一般情況下，家鄉(xiāng)代理不廣播數(shù)據(jù)分組到移動綁定列表中每個移動結點v 如果移動結點已請求轉發(fā)廣播數(shù)據(jù)分組，則家鄉(xiāng)代理將采取“IP封裝”的方法進行轉發(fā)3分組路由（分組路由（packet routing）（3）多播路