计算机网络知识梳理与总结（三）

Chapter5

网络层的功能

网络层提供的两种服务

网络层根据服务质量的不同提供两种类型的网络服务，即无连接的服务和面向连接的服务。它们又被称为数据报服务和虚电路服务。

数据报服务

虚电路服务

数据报服务和虚电路服务的区别

虚电路号VCID

IP地址

IP地址（Internet Protocol Address）就是给Internet中的每一个主机（或路由器）的每一个接口分配一个在全世界范围内唯一的地址标识符。

Attention！！！
一个IP地址并不真正指向一台主机（或路由器），而是指向一个网络接口，如果一台主机在两个网络上，它必须设置两个IP地址，这样的主机称为多宿主机或多归属主机。例如一个路由器至少应当连接到两个网上，所以一个路由器至少应该有两个不同的IP地址。

分类IP地址

单播地址：一对一通信
多播地址：一对多通信

特殊的IP地址

32位全0的IP地址作本机地址

子网掩码

对应网络号和子网号的部分为全1，对应主机号的部分为全0。

A、B、C类IP地址，对应的默认子网掩码依次是255.0.0.0、255.255.0.0、255.255.255.0。

子网掩码使用

IP特点

不可靠无连接的

IP的基本功能

IP分组交付

IP数据报格式

ipv4中规定ip地址长度为32位，即有2³²-1个地址；而ipv6中ip地址的长度为128位

IP数据报各字段含义

版本：占4位。规定IP的版本号，4（IPv4）或6（IPv6）。

首部长度：占4位。首部固定部分长度为20字节，首部长度以4字节为单位，因此常见的值为5，即0101。能表示最大的十进制数是15，即1111，对应60个字节

服务类型/区分服务：占8位。用于对IP数据报进行分类和有区别的转发，在旧标准中该字段中的7位定义为服务类型（TOS），目前的标准中将其定义为区分服务（DS），一些路由器支持区分服务功能，但迄今为止两者都没有在Internet中得到广泛的部署。

总长度：占16位。总长度指IP报文的总字节数，包含IP数据首部和数据部分，IP数据报的最大长度为216-1=65535字节。由于IP数据报的数据部分长度也是可变的，所以需要对报文的总长度进行标识。
由于数据链路层在进行数据帧封装时，存在最大数据长度限制（最大传输单元MTU），如以太网帧的数据字段最大传输单元为1500字节。所以上层IP数据报作为帧的数据部分被封装时，总长度不能超过下层的MTU，因此对超出这个长度的IP数据报要进行分片，总长度字段标出的是分片后的IP报文的总长度。

标识ID：标识一个IP分组，占16位。标识字段与IP数据报分片功能相关，用于标识分片的分组属于哪个数据报，以便在接收节点将分片的IP分组正确地组装为原来的数据报。

标志：占3位。目前仅使用前两位MF和DF。标志位也与IP数据报分片功能有关。

• MF：标志位的最低位，说明该标志所在的数据报分片后面是否还有分片。MF=1表示后面还有分片；MF=0表示该分组是数据报的最后一片或未分片
• DF：标志位的中间位，说明该数据报是否允许分片。DF=1表示该数据报不可分片；DF=0表示该数据报允许分片。

片偏移：占13位。该字段也与分片功能有关，片偏移指出本分片数据的第一个字节在原数据报数据区中的偏移位置，即距离原数据报数据首部的距离（字节数）。偏移量以8个字节为单位，即每个分片的长度一定是8字节（64位）的整数倍。

生存时间：占8位。用于设置数据报在网络中的最大生存时间，理论上以秒为单位，最大生存时间为255秒。但在实际应用中常以跳数计数，分组每经过一个路由器节点为一跳。

协议：占8位。表示该数据报封装的数据部分所采用的上层协议类型（如TCP、UDP等），仅在到达目的主机时使用，用于指引网络层将报文中数据部分上交给哪个传输层协议处理。

首部校验和：占16位。IP协议只对首部进行校验，数据部分的差错校验在传输层进行。这样传输过程中各中间路由器只需要对报文首部的几十个字节计算校验和，而不必对上千个字节的整个数据报进行运算，可以提高中间节点处理数据报的效率。

源IP地址和目的IP地址：各占32位。分别表示IP数据报的发送主机和接收主机的IP地址。

选项：该字段用于在需要时对首部功能的扩展，主要包括安全、时间戳以及一些用于调试路由算法的功能。根据选项的不同，长度从l字节到40字节不等。由于选项字段使IP首部长度不定，使IP协议处理复杂化，因此，IPv6不再采用选项的做法。

例题

解析：

IP路由表

采用子网划分以后，路由表中的表项内容上要有：目的网络地址、子网掩码、下一跳地址。

进行数据报转发和交付之前需要用各网络的子网掩码和数据报中的目的地址逐位相“与”，把结果和相应的网络地址比较，若匹配，则把数据报进行转发或者交付。若不匹配，则将数据报传送给路由表中所指明的默认路由器，否则，报告转发分组出错。

• (一)、直接路由选择
  在单个物理网络的两台机器之间，发送IP分组无需网关的转发功能。发送方将分组放到物理帧内直接传给目标机器。判断一目标地址是否与本计算机同在一个物理网络上的方法是，发送者取出目标IP地址的网络部分，与自己IP地址的网络部分比较，如果相同，就直接投递。在本地网络划分子网的情况下，如果目标地址属于本地的另外一个子网，那么这里所说的IP地址的网络部分也包括子网号。
• (二)、间接路由选择
  

地址解析协议ARP和反向地址解析协议RARP

IP数据报中的目的地址是网络地址、主机地址和路由器地址，它们都是逻辑地址，而数据链路层硬件无法识别IP地址，只能识别网络设备的物理地址（MAC地址）。
为了能正确识别连网设备的物理地址，准确找到某个网络设备，TCP/IP采用地址解析协议（ARP）来实现将IP地址映射（或转换）为MAC地址。采用逆向地址解析协议（RARP）实现将MAC地址映射（或转换）为IP地址。

IP地址与物理地址的映射

ARP报文格式

ARP是一个独立的网络层协议。ARP报文在向数据链路层传输时不需经过IP封装，直接生成ARP报文，其中包括ARP报文首部。ARP报文分为ARP请求和ARP应答报文两种。

ARP报文不是直接在网络层上发出的，它需要向下传输到数据链路层，用对应的数据链路层协议（如以太网协议）进行封装。以以太网为例，ARP报文传输到以太网数据链路层形成ARP帧。

MAC地址是由48位二进制组成

ARP工作原理（同一网段）

1）源主机发送一个分组前。首先根据目的IP地址，在本地ARP高速缓存表中查找与之相对应的目的MAC地址。

2）产生ARP请求分组，在相应的字段写入本地主机的源MAC地址与源IP地址、目的IP地址，在目的MAC地址字段写入全0。

3）将ARP分组发送到本地的数据链路层，并封装成帧。将源MAC地址作为源地址，以广播地址作为目的地址发送出去。（在局域网中易广播）

4）由于采用广播地址，直接相连的所有节点都能接收到该ARP请求分组。除目的主机外，其他所有接收到该分组的主机和路由器都将丢弃该分组，目的主机识别该IP地址为自己，完成地址解析。

5）完成地址解析的目的主机发送ARP应答分组，该分组包括发送需要知道的目的MAC地址。

6）源节点接收到ARP应答分组，知道了对应于目的IP地址的目的MAC地址，将它作为一条新的记录，加入到ARP高速缓存表。

7）源节点将具有完整的源IP地址、源MAC地址、目的IP地址、目的MAC地址信息和数据作为一个发送分组，传送给它的数据链路层并封装成帧，然后以点对点方式发送到目的主机。

ARP工作原理（不同网段）

1）如果源节点不知道网关的MAC地址，则源节点首先在本网段内发出一个ARP请求广播，ARP请求分组中的目的IP地址为网关的IP地址，代表其目的就是想获得网关的MAC地址。如果源节点已知网关的MAC地址，则略过此步骤。

2）网关收到ARP广播包后同样会向源节点发回一个ARP应答分组。当源节点从收到的应答报文中获得网关的MAC地址后，在其发送给目的主机的报文中的目的MAC地址字段填上该网关的MAC地址后发送给网关。（网关代表应答）

3）如果网关的ARP表中已存在目的主机对应的MAC地址，则网关直接将目的主机的MAC地址填在源节点报文中的目的MAC地址字段中，转发给目的主机。

4）如果网关ARP表中不存在目的主机的MAC地址，网关会再次向目的主机所在网段发送ARP广播请求，此时目的IP地址为目的主机的IP地址，当网关从收到的来自目的主机的应答报文中获得目的主机的MAC地址后，将其填在源主机发送的报文的目的MAC地址字段中，然后发送给目的主机。


牺牲方便性，换取安全性

ICMP

ICMP是由出错节点向源节点发回差错报文或控制报文。

ICMP应用举例：ping命令

IGMP

IP多播又称为组播，指在IP网络中将报文以尽力传送的形式发送到网络中的某个确定节点子集，这个子集称为多播组。
IP多播的基本思想：源主机只发送一份IP报文，报文中的目的IP地址为IP多播地址，加入到该多播组的所有接收者都可接收到这个IP报文的拷贝。

实现点到多点的高效数据传送，大量节省网络带宽、降低网络负载、减少网络上通信、减少流量开销

多播地址（IP多播地址）

虚拟专用网(VPN）

虚拟专用网络（VPN）是指在公共网络上建立的专用的、安全的、临时的连接。它是共享公用链路的一条逻辑上的连接，实际上是在公共网络中建立的一条安全隧道。这种网络建立是为属于同一个公司的主机的公司内部通信，而不是用于和网络外非本公司的主机进行通信。
如果VPN中不同网点之间的通信必须经过公用的Internet传输，又有保密的要求时，则所有通过Internet传送的数据都需加密传输。

VPN关键技术

VPN解决方案

网络地址转换（NAT）技术

网络地址转换（NAT）技术允许机构内部使用私有地址的用户通过NAT路由器将私有地址转换为公有地址来访问Internet，以降低对公网IP地址的需求。

采用NAT为了解决公开IP地址缺乏的问题，每台主机只需要分配一个私有IP地址就可满足内部互连的需要，只有当访问Internet时才和公有IP地址绑定，这样可以不必申请很多公有IP地址。

另外，用户出于安全考虑，即通过NAT掩盖内部主机的真实IP地址，能够有效避免来自网络外部的攻击，隐藏并保护网络内部计算机。

网络地址转换方法

网络地址端口转换是指是改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT）采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。

之后我会持续更新，如果喜欢我的文章，请记得一键三连哦，点赞关注收藏，你的每一个赞每一份关注每一次收藏都将是我前进路上的无限动力 ！！！↖(▔▽▔)↗感谢支持！