第四天 ICMP、ARP、TCP、UDP协议

ICMP

• ICMP用来传递差错、控制、查询等信息。
• ICMP是TCP/IP协议簇的核心协议之一，它用于在IP网络设备之间发送控制报文，传递差错、控制、查询等信息。

ICMP差错检测

• ICMP Echo Request和ICMP Echo Reply分别用来查询和响应某些信息，进行差错检测。
• ICMP Echo消息常用于诊断源和目的地之间的网络连通性，同时还可以提供其他信息，如报文往返时间等。

ICMP数据包格式

• Type表示ICMP消息类型，Code表示同一消息类型中的不同信息。
• ICMP消息封装在IP报文中。ICMP消息的格式取决于Type和Code字段，其中Type字段为消息类型，Code字段包含该消息类型的具体参数。后面的校验和字段用于检查消息是否完整。消息中包含32比特的可变参数，这个字段一般不使用，通常设置为0。在ICMP Redirect消息中，这个字段用来指定网关IP地址，主机根据这个地址将报文重定向到指定网关。在Echo请求消息中，这个字段包含标识符和序号，源端根据这两个参数将收到的回复消息与本端发送的Echo请求消息进行关联。尤其是当源端向目的端发送了多个Echo请求消息时，需要根据标识符和序号将Echo请求和回复消息进行一一对应。

ICMP消息类型和编码类型

ICMP定义了多种消息类型，并用于不同的场景。有些消息不需要Code字段来描述具体类型参数，仅用Type字段表示消息类型。比如，ICMP Echo回复消息的Type字段设置为0。
有些ICMP消息使用Type字段定义消息大类，用Code字段表示消息的具体类型。比如，类型为3的消息表示目的不可达，不同的Code值表示不可达的原因，包括目的网络不可达（Code=0）、目的主机不可达（Code=1）、协议不可达（Code=2）、目的TCP/UDP端口不可达（Code=3）等。

ICMP应用-Ping

• ICMP的一个典型应用是Ping。Ping是检测网络连通性的常用工具，同时也能够收集其他相关信息。用户可以在Ping命令中指定不同参数，如ICMP报文长度、发送的ICMP报文个数、等待回复响应的超时时间等，设备根据配置的参数来构造并发送ICMP报文，进行Ping测试。
  Ping常用的配置参数说明如下：

1. -a source-ip-address指定发送ICMP ECHO-REQUEST报文的源IP地址。如果不指定源IP地址，将采用出接口的IP地址作为ICMP ECHO-REQUEST报文发送的源地址。
2. -c count指定发送ICMP ECHO-REQUEST报文次数。缺省情况下发送5个ICMP ECHO-REQUEST报文。
3. -h ttl-value指定TTL的值。缺省值是255。
4. -t timeout指定发送完ICMP ECHO-REQUEST后，等待ICMP ECHO-REPLY的超时时间。

ICMP应用-Tracert

• ICMP的另一个典型应用是Tracert。Tracert基于报文头中的TTL值来逐跳跟踪报文的转发路径。为了跟踪到达某特定目的地址的路径，源端首先将报文的TTL值设置为1。该报文到达第一个节点后，TTL超时，于是该节点向源端发送TTL超时消息，消息中携带时间戳。然后源端将报文的TTL值设置为2，报文到达第二个节点后超时，该节点同样返回TTL超时消息，以此类推，直到报文到达目的地。这样，源端根据返回的报文中的信息可以跟踪到报文经过的每一个节点，并根据时间戳信息计算往返时间。Tracert是检测网络丢包及时延的有效手段，同时可以帮助管理员发现网络中的路由环路。
• Tracert常用的配置参数说明如下：
• -a source-ip-address指定tracert报文的源地址。
• -f first-ttl指定初始TTL。缺省值是1。
• -m max-ttl指定最大TTL。缺省值是30。
• -name使能显示每一跳的主机名。
• -p port指定目的主机的UDP端口号。

ARP

ARP的作用

• 数据链路层在进行数据封装时，需要目的MAC地址。
• 一个网络设备要发送数据给另一个网络设备时，必须要知道对方的IP地址。但是，仅有IP地址是不够的，因为IP数据报文必须封装成帧才能通过数据链路进行发送，而数据帧必须要包含目的MAC地址，因此发送端还必须获取到目的MAC地址。每一个网络设备在数据封装前都需要获取下一跳的MAC地址。IP地址由网络层来提供，MAC地址通过ARP协议来获取。ARP协议是TCP/IP协议簇中的重要组成部分，它能够通过目的IP地址获取目标设备的MAC地址，从而实现数据链路层的可达性。

ARP数据包格式

• 网络设备通过ARP报文来发现目的MAC地址。ARP报文中包含以下字段：
• Hardware Type表示硬件地址类型，一般为以太网；
• Protocol Type表示三层协议地址类型，一般为IP；
• Hardware Length和Protocol Length为MAC地址和IP地址的长度，单位是字节；
• Operation Code指定了ARP报文的类型，包括ARP Request和ARP Reply；
• Source Hardware Address指的是发送ARP报文的设备MAC地址；
• Source Protocol Address指的是发送ARP报文的设备IP地址；
• Destination Hardware Address指的是接收者MAC地址，在ARP Request报文中，该字段值为0；
• Destination Protocol Address指的是接收者的IP地址。

ARP请求

收到ARP请求后
1.学习ARP （学习的是对方的MAC地址对应的IP地址 并且放到自己的ARP表中）
2.ARP reply 回复

• 本例中，主机A的ARP缓存表中不存在主机C的MAC地址，所以主机A会发送ARP Request来获取目的MAC地址。ARP Request报文封装在以太帧里。帧头中的源MAC地址为发送端主机A的MAC地址。此时，由于主机A不知道主机C的MAC地址，所以目的MAC地址为广播地址FF-FF-FF-FF-FF-FF。ARP Request报文中包含源IP地址、目的IP地址、源MAC地址、目的MAC地址，其中目的MAC地址的值为0。ARP Request报文会在整个网络上传播，该网络中所有主机包括网关都会接收到此ARP Request报文。网关将会阻止该报文发送到其他网络上。

ARP响应

ARP协议
通过对方的IP地址来请求对方的MAC地址的协议（通过对方的IP地址来拿到对方的MAC地址）

• 所有的主机接收到该ARP Request报文后，都会检查它的目的协议地址字段与自身的IP地址是否匹配。如果不匹配，则该主机将不会响应该ARP Request报文。如果匹配，则该主机会将ARP报文中的源MAC地址和源IP地址信息记录到自己的ARP缓存表中，然后通过ARP Reply报文进行响应。

ARP代理

ARP代理
开启ARP代理：在接口下输入 arp-proxy enable

• 同一网段、不同物理网络上的计算机之间，可以通过ARP代理实现相互通信。
• 在上述例子的组网中，主机A需要与主机B通信时，目的IP地址与本机的IP地址在同一个网段，所以A将会以广播形式发送ARP Request报文，请求主机B的MAC地址。但是，广播报文无法被路由器转发，所以主机B无法收到主机A的ARP请求报文，当然也就无法应答。
• 在路由器上启用代理ARP功能，就可以解决这个问题。启用代理ARP后，路由器收到这样的请求，会查找路由表，如果存在主机B的路由表项，路由器将会使用自己的G0/0/0接口的MAC地址来回应该ARP Request。主机A收到ARP Reply后，将以路由器的G0/0/0接口MAC地址作为目的MAC地址进行数据转发。

免费ARP

什么时候产生免费ARP
当设备接口上配置IP地址的时候，就会发送免费ARP 来检查网络中有没有冲突的IP地址

• 免费ARP可以用来探测IP地址是否冲突。
• 主机被分配了IP地址或者IP地址发生变更后，必须立刻检测其所分配的IP地址在网络上是否是唯一的，以避免地址冲突。主机通过发送ARP Request报文来进行地址冲突检测。
  主机A将ARP Request广播报文中的目的IP地址字段设置为自己的IP地址，且该网络中所有主机包括网关都会接收到此报文。当目的IP地址已经被某一个主机或网关使用时，该主机或网关就会回应ARP Reply报文。通过这种方式，主机A就能探测到IP地址冲突了。

ARP命令查询

ARP -a 查询arp缓存表
ARP -d 删除arp缓存表

TCP

• TCP是一种面向连接的传输层协议，可提供可靠的传输服务。
• TCP位于TCP/IP模型的传输层，它是一种面向连接的端到端协议。TCP作为传输控制协议，可以为主机提供可靠的数据传输。

TCP端口号

• 端口号用来区分不同的网络服务。
• TCP允许一个主机同时运行多个应用进程。每台主机可以拥有多个应用端口，每对端口号、源和目标IP地址的组合唯一地标识了一个会话。端口分为知名端口和动态端口。有些网络服务会使用固定的端口，这类端口称为知名端口，端口号范围为0-1023。如FTP、HTTP、Telnet、SNMP服务均使用知名端口。动态端口号范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。

TCP头部

• URG 标记紧急

• ACK 确认机制

• PSH 标记被推出去（从TCP缓存中推出去）

• RST 标记 重置

• SYN 重要 请求连接（建立TCP连接）

• FIN 终止会话，表示会话结束

• Window 用来做流量控制的，并且会自动协商的

• TCP的三层握手 四次挥手

TCP建立连接的过程

• TCP是一种可靠的，面向连接的全双工传输层协议。
• TCP连接的建立是一个三次握手的过程。如图所示：
• 主机A（通常也称为客户端）发送一个标识了SYN的数据段，表示期望与服务器A建立连接，此数据段的序列号（seq）为a。
• 服务器A回复标识了SYN+ACK的数据段，此数据段的序列号（seq）为b，确认序列号为主机A的序列号加1（a+1），以此作为对主机A的SYN报文的确认。
• 主机A发送一个标识了ACK的数据段，此数据段的序列号（seq）为a+1，确认序列号为服务器A的序列号加1（b+1），以此作为对服务器A的SYN报文的确认。

TCP关闭连接

• 主机在关闭连接之前，要确认收到来自对方的ACK。
• TCP支持全双工模式传输数据，这意味着同一时刻两个方向都可以进行数据的传输。在传- 输数据之前，TCP通过三次握手建立的实际上是两个方向的连接，因此在传输完毕后，两个方向的连接必须都关闭。
• TCP连接的建立是一个三次握手的过程，而TCP连接的终止则要经过四次握手。
• 如图所示：主机A想终止连接，于是发送一个标识了FIN，ACK的数据段，序列号为a，确认序列号为b。
• 服务器A回应一个标识了ACK的数据段，序列号为b，确认序号为a+1，作为对主机A的FIN报文的确认。
• 服务器A想终止连接，于是向主机A发送一个标识了FIN，ACK的数据段，序列号为b，确认序列号为a+1。
• 主机A回应一个标识了ACK的数据段，序列号为a+1，确认序号为b+1，作为对服务器A的FIN报文的确认。
• 以上四次交互便完成了两个方向连接的关闭。

UDP

• UDP是一种面向无连接的传输层协议，传输可靠性没有保证。
• 当应用程序对传输的可靠性要求不高，但是对传输速度和延迟要求较高时，可以用UDP协议来替代TCP协议在传输层控制数据的转发。UDP将数据从源端发送到目的端时，无需事先建立连接。UDP采用了简单、易操作的机制在应用程序间传输数据，没有使用TCP中的确认技术或滑动窗口机制，因此UDP不能保证数据传输的可靠性，也无法避免接收到重复数据的情况。

UDP头部

• UDP报文分为UDP报文头和UDP数据区域两部分。报头由源端口、目的端口、报文长度以及校验和组成。UDP适合于实时数据传输，如语音和视频通信。相比于TCP，UDP的传输效率更高、开销更小，但是无法保障数据传输的可靠性。UDP头部的标识如下：
• 16位源端口号：源主机的应用程序使用的端口号。
• 16位目的端口号：目的主机的应用程序使用的端口号。
• 16位UDP长度：是指UDP头部和UDP数据的字节长度。因为UDP头部长度为8字节，所以该字段的最小值为8。
• 16位UDP校验和：该字段提供了与TCP校验字段同样的功能；该字段是可选的。