實(shí)驗(yàn)四：ARP協(xié)議分析

1、實(shí)驗(yàn)4.1 ARP協(xié)議分析ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對(duì)上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識(shí)別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。1. ARP和RARP報(bào)頭結(jié)構(gòu)ARP和R

2、ARP使用相同的報(bào)頭結(jié)構(gòu)硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進(jìn)制）；硬件地址長度和協(xié)議長度：指明了硬件地址和高層協(xié)議地址的長度，這樣ARP報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用；操作字段：用來表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2，RARP請(qǐng)求為3，RARP響應(yīng)為4；發(fā)送方的硬件地址（0-3字節(jié)）：源主機(jī)硬件地址的前3個(gè)字節(jié)；發(fā)送方的硬件地址（4-5字節(jié)）：源主機(jī)硬件地址的后3個(gè)字節(jié)；發(fā)送方IP（0-1字節(jié)）：源主機(jī)硬件地址的前2個(gè)字節(jié)；發(fā)送方IP（2-3字節(jié)）：源主機(jī)硬件地址的后2個(gè)

3、字節(jié)；目的硬件地址（0-1字節(jié)）：目的主機(jī)硬件地址的前2個(gè)字節(jié)；目的硬件地址（2-5字節(jié)）：目的主機(jī)硬件地址的后4個(gè)字節(jié)；目的IP（0-3字節(jié)）：目的主機(jī)的IP地址。ARP的工作原理如下 ：1. 首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū) (ARP Cache)中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。 2. 當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地

4、址、硬件地址、以及目的主機(jī)的IP地址。3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；4.源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗 Arp s添加靜態(tài)ARP緩存表項(xiàng)，該表項(xiàng)是永久性的

5、，除非用arp d刪除；動(dòng)態(tài)arp緩存表項(xiàng)有有限的生存時(shí)間，在pc上ping某ip后，獲得該ip的mac地址后，Arp a觀察動(dòng)態(tài)arp緩存的生存時(shí)間；觀察在2分鐘內(nèi)未使用該arp表項(xiàng)的話，該表項(xiàng)會(huì)被自動(dòng)刪除，如果在2分鐘內(nèi)使用了該表項(xiàng)，會(huì)從使用之時(shí)起，該表項(xiàng)的生存時(shí)間再延長2分鐘。 1、關(guān)于arp緩存表項(xiàng)的生存期(有效時(shí)間)在默認(rèn)情況下，Windows Server 2003家族和Windows XP中，ARP緩存中的表項(xiàng)僅存儲(chǔ)2分鐘。如果一個(gè)ARP緩存表項(xiàng)在2分鐘內(nèi)被用到，則其期限再延長2分鐘，直到最大生命期限10分鐘為止。超過10分鐘的最大期限后，ARP緩存表項(xiàng)將被移出，并且通過另外一個(gè)

6、ARP請(qǐng)求ARP回應(yīng)交換來獲得新的對(duì)應(yīng)關(guān)系。 2、無償ARP和重復(fù)的IP地址檢測(cè) ARP可以被用來檢測(cè)重復(fù)的IP地址，這是通過傳送一種叫做無償ARP的ARP請(qǐng)求來完成的。無償ARP就是一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求。在無償ARP中，SPA(發(fā)送者協(xié)議地址)和TPA(目標(biāo)協(xié)議地址)被設(shè)置成同一個(gè)IP地址。如果節(jié)點(diǎn)發(fā)送一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求，就不應(yīng)收到任何一個(gè)ARP回應(yīng)幀，這樣節(jié)點(diǎn)就可以判斷沒有其他節(jié)點(diǎn)使用跟它相同的IP地址。如果節(jié)點(diǎn)發(fā)送一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求，結(jié)果收到ARP回應(yīng)，這樣此節(jié)點(diǎn)就可以判斷有另外一個(gè)節(jié)點(diǎn)使用同樣的IP地址。如果發(fā)送了3個(gè)無償ARP后，都沒有收到AR

7、P回應(yīng)，IP就假定此IP地址在此網(wǎng)絡(luò)段中是唯一的。 步驟：arp d刪除所有表項(xiàng)；ping 某個(gè)ip，觸發(fā)arp過程；用ethereal觀察arp過程；arp a觀察mac地址。用ethereal觀察arp分組。在一臺(tái)PC1上設(shè)置IP，然后在另一個(gè)PC2上設(shè)置相同的IP，用ethereal抓arp包，會(huì)發(fā)現(xiàn)pc2在設(shè)置完IP后，會(huì)首先發(fā)送一個(gè)無償arp請(qǐng)求，pc1收到后，會(huì)向pc2回復(fù)，在重復(fù)這樣三次后，就可以確定網(wǎng)絡(luò)內(nèi)具有與之相同的ip主機(jī)，pc2就無法初始化其tcp/ip協(xié)議棧了。 實(shí)驗(yàn)4.2 ICMP協(xié)議分析ICMP協(xié)議屬于網(wǎng)絡(luò)層協(xié)議，用于在IP主機(jī)與路由器之間傳遞網(wǎng)絡(luò)是否通暢、主機(jī)是否

8、可達(dá)、路由是否可用等控制消息。ICMP的全稱是 Internet Control Message Protocol 。從技術(shù)角度來說，ICMP就是一個(gè)“錯(cuò)誤偵測(cè)與回報(bào)機(jī)制”，其目的就是讓我們能夠檢測(cè)網(wǎng)路的連線狀況也能確保連線的準(zhǔn)確性其功能主要有：偵測(cè)遠(yuǎn)端主機(jī)是否存在。建立及維護(hù)路由資料。重導(dǎo)資料傳送路徑。資料流量控制消息格式：1. 回送或回送響應(yīng)我們使用一個(gè)ICMP ECHO數(shù)據(jù)包來探測(cè)主機(jī)地址是否存活（當(dāng)然在主機(jī)沒有被配置為過濾ICMP形式），通過簡(jiǎn)單的發(fā)送一個(gè)ICMP ECHO(Type 8)數(shù)據(jù)包到目標(biāo)主機(jī)，如果ICMP ECHO Reply(ICMP type 0)數(shù)據(jù)包接受到，說明主

9、機(jī)是存活狀態(tài)。如果沒有就可以初步判斷主機(jī)沒有在線或者使用了某些過濾設(shè)備過濾了ICMP的REPLY。這種機(jī)制就是我們通常所用的ping命令來檢測(cè)目標(biāo)主機(jī)是否可以ping到.回送消息的源地址是回送響應(yīng)消息的目的地址。若要形成一個(gè)回送響應(yīng)消息，應(yīng)該將源和目的地址交換，將類型代碼更改為0，重新計(jì)算機(jī)校驗(yàn)碼。類型：8代表回送消息；0代表回送響應(yīng)消息。代碼：02. 超時(shí)報(bào)文類型：11代碼：0 = 傳送超時(shí)；1 = 分段級(jí)裝超時(shí)3. 目標(biāo)主機(jī)不可達(dá)報(bào)文類型：3代碼：0 = 網(wǎng)絡(luò)不可達(dá)；1 = 主機(jī)不可達(dá)；2 = 協(xié)議不可用；3 = 端口不可達(dá)；4 = 需要段和DF設(shè)置；5 = 源路由失??；步驟：1、分析上次

10、課ping命令中的ICMP分組；2、用ping命令探測(cè)網(wǎng)絡(luò)上較遠(yuǎn)的結(jié)點(diǎn)，但把TTL設(shè)置較小(如本例中的3)，如：ping i 3 59.66.110.1，察看返回信息，并用ethereal看59.66.110.1返回的ICMP超時(shí)信息，看ICMP分組內(nèi)容。3、再ping其它的主機(jī)，實(shí)現(xiàn)不可達(dá)的返回消息。實(shí)驗(yàn)4.3 數(shù)據(jù)包收發(fā)的整個(gè)流程兩臺(tái)同一網(wǎng)絡(luò)中PC機(jī)之間的數(shù)據(jù)包收發(fā)過程兩臺(tái)不同局域網(wǎng)中PC機(jī)之間數(shù)據(jù)收發(fā)的過程可以用ping來做實(shí)驗(yàn)兩臺(tái)同一網(wǎng)絡(luò)中PC機(jī)之間的數(shù)據(jù)包收發(fā)過程實(shí)驗(yàn)過程中記得先把雙方的arp表清除掉要寫出詳細(xì)的流程兩臺(tái)不同局域網(wǎng)中PC機(jī)之間數(shù)據(jù)收發(fā)的過程由于不在同一局域網(wǎng)中的PC機(jī)

11、不好找，可以通過ping 這樣的方式來觀察PC機(jī)向外部網(wǎng)發(fā)送數(shù)據(jù)的過程，以及路由器返回給PC機(jī)的過程。通過這個(gè)過程來推測(cè)出兩臺(tái)不在同一局域網(wǎng)中PC機(jī)之間的通信過程。實(shí)驗(yàn)5在實(shí)驗(yàn)室的網(wǎng)絡(luò)環(huán)境中進(jìn)行實(shí)際路由器的配置實(shí)驗(yàn)室的網(wǎng)絡(luò)環(huán)境實(shí)驗(yàn)方案實(shí)驗(yàn)方案十五臺(tái)機(jī)器配置一個(gè)子網(wǎng)一個(gè)子網(wǎng)中有4臺(tái)路由器一個(gè)juniper-4350一個(gè)或兩個(gè)cisco-2800一個(gè)或兩個(gè)h3c自己設(shè)計(jì)實(shí)驗(yàn)方案，可以讓子網(wǎng)中的pc機(jī)互通子網(wǎng)中不同路由器之間學(xué)習(xí)路由或者不同子網(wǎng)間互通自學(xué)一些juniper和h3c的配置命令一個(gè)小組一起配置采用4臺(tái)終端接入服務(wù)器服務(wù)器地址：192.168.0.91192.168.0.92192.168

12、.0.94192.168.0.95每臺(tái)終端服務(wù)器有24個(gè)接口每個(gè)接口連接到一個(gè)設(shè)備的console口上端口映射物理端口 1 - 邏輯端口 3000telnet 192.168.0.91 3000H3c簡(jiǎn)單配置命令命令簡(jiǎn)介 舊新解釋showdisplay顯示noundo刪除/取消userlocal-user新建用戶endreturn退回到系統(tǒng)視圖exitquit返回上級(jí)視圖exitlogouttelnet的推出命令簡(jiǎn)介 router riprip啟動(dòng)riprouter ospfospf啟動(dòng)ospfrouter bgpbgp啟動(dòng)bgphostnamesysname設(shè)置主機(jī)名字access-list

13、acl控制訪問列表writesave保存配置erasedelete刪除配置命令簡(jiǎn)介 0simple明文7cipher密文hostip hosthost名字和ip地址對(duì)應(yīng)logginginfo-center日志信息encapslutionlink-pro封裝鏈路層協(xié)議show versiondisp version顯示版本show rundisp current-configuration顯示當(dāng)前配置show tech-supportdisp base-information顯示全面的信息show startdisp saved-configuration顯示已保存的配置2)顯示系統(tǒng)狀態(tài)信息利用

14、display命令可以收集系統(tǒng)狀態(tài)信息，根據(jù)功能可以劃分為以下幾類：顯示系統(tǒng)配置信息的命令顯示系統(tǒng)運(yùn)行狀態(tài)的命令顯示系統(tǒng)統(tǒng)計(jì)信息的命令操作命令顯示系統(tǒng)版本display version slot-id 顯示詳細(xì)的系統(tǒng)版本信息vrbd顯示系統(tǒng)時(shí)鐘display clock顯示終端用戶display users all 顯示起始配置信息display saved-configuration顯示當(dāng)前配置信息display current-configuration顯示當(dāng)前系統(tǒng)內(nèi)存使用情況display memory配置cisco靜態(tài)路由：enconf tinterface G0/0CISCO2821

15、-RACK5(config-if)#ip address 10.1.1.1 255.255.255.0CISCO2821-RACK5(config-if)#no shutdownCISCO2821-RACK5(config)#ip route 10.1.4.0 255.255.255.0 10.1.1.2配置H3C靜態(tài)路由：System-viewH3Cinterface Ethernet5/0H3C-Ethernet5/0ip address 10.1.2.2 255.255.255.0H3Cip route-static 10.1.1.0 255.255.255.0 10.1.2.1配置ju

16、niper靜態(tài)路由：登陸用戶名JuniperJ4350-RACK5 (ttyd0)login: root- JUNOS 8.2R1.7 built 2007-01-17 02:40:57 UTCrootJuniperJ4350-RACK5%rootJuniperJ4350-RACK5% clirootJuniperJ4350-RACK5rootJuniperJ4350-RACK5 configureEntering configuration moderootJuniperJ4350-RACK5# set interfaces fe-0/0/3 unit 0 family inet addre

17、ss unit 0 family inet address 10.1.1.1/24rootJuniperJ4350-RACK5# commitrootJuniperJ4350-RACK5# set routing-options static route 10.1.3.0/24 next-hop 10.1.1.1rootJuniperJ4350-RACK5# commitCISCO 配置接口IPRouterenRouter#configure tRouter(config)#interface gigabitEthernet 0/0Router(config-if)#ip address 10

18、.1.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit配置RIP路由Router(config)#ip routingRouter(config)#router ripRouter(config-router)#network 10.0.0.0Router(config-router)#end察看結(jié)果：Router#show ip route 10.0.0.0/24 is subnetted, 4 subnetsR 10.1.3.0 120/1 via 10.1.2.2, 00:00:01, Gigabit

19、Ethernet0/1 120/1 via 10.1.1.2, 00:00:00, GigabitEthernet0/0C 10.1.2.0 is directly connected, GigabitEthernet0/1C 10.1.1.0 is directly connected, GigabitEthernet0/0R 10.1.4.0 120/1 via 10.1.1.2, 00:00:00, GigabitEthernet0/0H3C:配置接口IPsystem-viewH3Cinterface Ethernet2/0H3C-Ethernet2/0ip address 10.0.3

20、.2 24H3C-Ethernet2/0undo shutdownH3C-Ethernet2/0quit配置RIP路由H3Crip 1H3C-rip-1version 2H3C-rip-1network 10.1.0.0H3C-rip-1quit察看結(jié)果：H3Cdisplay ip routing-tableRouting Tables: Public Destinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface10.1.1.0/24 RIP 100 1 10.1.3.1 Eth2/010.1.2.0/

21、24 Direct 0 0 10.1.2.2 Eth5/010.1.2.2/32 Direct 0 0 127.0.0.1 InLoop010.1.3.0/24 Direct 0 0 10.1.3.2 Eth2/010.1.3.2/32 Direct 0 0 127.0.0.1 InLoop010.1.4.0/24 RIP 100 1 10.1.3.1 Eth2/0127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0Juniper:配置接口IPLogin：rootroot% cliroot configureroot# set interfaces fe-0/0/3 unit 0 family inet address 10.1.4.1/24root# commit配置策略root#