計算機(jī)網(wǎng)絡(luò)安全：第6章 TCPIP協(xié)議族和IP地址1

第6章TCP/IP協(xié)議族和IP地址

學(xué)習(xí)目標(biāo)伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)逐漸改變著生活、學(xué)習(xí)和工作方式，對我們的影響越來越大。在Internet中使用了眾多的網(wǎng)絡(luò)協(xié)議，本章將對常用網(wǎng)絡(luò)協(xié)議組成與配置進(jìn)行詳細(xì)的講解，并簡單介紹Internet的發(fā)展、特點(diǎn)以及其提供的服務(wù)等知識。本章要點(diǎn)網(wǎng)絡(luò)互連與Internet的發(fā)展Internet的組成、服務(wù)和特點(diǎn)TCP/IP參考模型TCP/UDP協(xié)議IP協(xié)議域名系統(tǒng)網(wǎng)絡(luò)互連與Internet的發(fā)展網(wǎng)絡(luò)之間進(jìn)行互連，這與Internet的出現(xiàn)有著密不可分的關(guān)系。網(wǎng)絡(luò)互連的必要性網(wǎng)絡(luò)互連的層次網(wǎng)絡(luò)互連的類型網(wǎng)絡(luò)互連的必要性單一的計算機(jī)局域網(wǎng)由于覆蓋范圍有限，其資源相對匱乏，若要擴(kuò)大通信和資源共享的范圍，這就需要將若干個局域網(wǎng)連接成為一個更大的網(wǎng)絡(luò)，使得不同網(wǎng)絡(luò)中的用戶能夠相互通信以及共享資源。網(wǎng)絡(luò)互連的層次網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議是具有分層關(guān)系的，如兩個網(wǎng)絡(luò)之間要相互連接，首先需確定是在哪一個層上建立連接，即確定互連層。確定互連層的原則是：必須保證在互連層及互連層以上的層次和協(xié)議均相同。在互連層以下，則允許兩個網(wǎng)絡(luò)使用不同的協(xié)議。通常把在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層實(shí)現(xiàn)的互連分別稱為物理層互連、數(shù)據(jù)鏈路層互連和網(wǎng)絡(luò)層互連，而把傳輸層及以上各層協(xié)議之間的互連統(tǒng)稱為高層互連。其各自的特點(diǎn)分別如下：網(wǎng)絡(luò)互連的層次物理層互連數(shù)據(jù)鏈路層互連網(wǎng)絡(luò)層互連高層互連物理層互連通過中繼器來實(shí)現(xiàn)物理層的互連。通過物理層互連，能夠完成比特信號的復(fù)制、放大和整形等功能。物理層互連通常用于擴(kuò)展局域網(wǎng)段的長度，實(shí)現(xiàn)兩個相同類型局域網(wǎng)互連。數(shù)據(jù)鏈路層互連通過網(wǎng)橋來實(shí)現(xiàn)數(shù)據(jù)鏈路層互連。用戶在使用網(wǎng)橋?qū)崿F(xiàn)數(shù)據(jù)鏈路層互連兩個或多個網(wǎng)絡(luò)時，不必考慮互連網(wǎng)絡(luò)的數(shù)據(jù)鏈路層與物理層協(xié)議是否相同。若協(xié)議不同，只需要在數(shù)據(jù)鏈路層進(jìn)行協(xié)議轉(zhuǎn)換即可。網(wǎng)絡(luò)層互連使用路由器實(shí)現(xiàn)網(wǎng)絡(luò)層互連。網(wǎng)絡(luò)層互連可以實(shí)現(xiàn)在不同網(wǎng)絡(luò)之間存儲或轉(zhuǎn)發(fā)數(shù)據(jù)。高層互連使用網(wǎng)關(guān)實(shí)現(xiàn)傳輸層及以上各層的互連。采用不同的傳輸層及以上各層協(xié)議的網(wǎng)絡(luò)之間互連時，網(wǎng)關(guān)完成對相應(yīng)高層協(xié)議的轉(zhuǎn)換。而使用最多的網(wǎng)關(guān)是應(yīng)用層網(wǎng)關(guān)，它可以實(shí)現(xiàn)兩個應(yīng)用層及以下各層均不相同的網(wǎng)絡(luò)互連。網(wǎng)絡(luò)互連的類型計算機(jī)網(wǎng)絡(luò)根據(jù)覆蓋地域范圍可以分為廣域網(wǎng)、城域網(wǎng)與局域網(wǎng)3類，因此，根據(jù)這3種網(wǎng)絡(luò)類型，可將網(wǎng)絡(luò)之間的互連劃分為局域網(wǎng)-局域網(wǎng)互連、局域網(wǎng)-廣域網(wǎng)互連、局域網(wǎng)-廣域網(wǎng)-局域網(wǎng)互連、廣域網(wǎng)-廣域網(wǎng)互連這幾種類型。下面將分別進(jìn)行介紹。局域網(wǎng)-局域網(wǎng)互連局域網(wǎng)-廣域網(wǎng)互連局域網(wǎng)-廣域網(wǎng)-局域網(wǎng)互連廣域網(wǎng)-廣域網(wǎng)互連局域網(wǎng)-局域網(wǎng)互連局域網(wǎng)與局域網(wǎng)之間互連是最常見的一種互連方式。該互連方式還分為同種局域網(wǎng)互連和異種局域網(wǎng)互連兩種方式。同種局域網(wǎng)互連是指當(dāng)兩個相同類型的局域網(wǎng)采用相同的局域網(wǎng)協(xié)議實(shí)現(xiàn)互連；而異種局域網(wǎng)互連是指兩個不同類型的局域網(wǎng)，需要采用協(xié)議轉(zhuǎn)換機(jī)制才能夠進(jìn)行互連。使用最多的當(dāng)數(shù)同種局域網(wǎng)互連這種方式，因?yàn)槠鋵?shí)現(xiàn)相當(dāng)方便。局域網(wǎng)-廣域網(wǎng)互連局域網(wǎng)與廣域網(wǎng)之間建立網(wǎng)絡(luò)互連是常見的互連方式之一。局域網(wǎng)與廣域網(wǎng)互連時，在局域網(wǎng)與廣域網(wǎng)之間必須采用路由器或網(wǎng)關(guān)來實(shí)現(xiàn)互連。局域網(wǎng)-廣域網(wǎng)-局域網(wǎng)互連通過廣域網(wǎng)，能夠?qū)崿F(xiàn)兩個相距很遠(yuǎn)的局域網(wǎng)之間的互連，這也是通常所說的“局域網(wǎng)-廣域網(wǎng)-局域網(wǎng)互連”。它的實(shí)現(xiàn)步驟是：將其中一個局域網(wǎng)連接到廣域網(wǎng)中，此后再將另外一個局域網(wǎng)也接入廣域網(wǎng)，以此來實(shí)現(xiàn)兩個局域網(wǎng)之間的連接。局域網(wǎng)通過廣域網(wǎng)實(shí)現(xiàn)互連廣域網(wǎng)-廣域網(wǎng)互連廣域網(wǎng)與廣域網(wǎng)互連，同樣是使用路由器或網(wǎng)關(guān)來實(shí)現(xiàn)，讓連入廣域網(wǎng)的計算機(jī)能夠在更大范圍內(nèi)實(shí)現(xiàn)資源共享。Internet的組成、服務(wù)和特點(diǎn)Internet已經(jīng)逐漸地步入了人們的工作和生活，下面將詳細(xì)講解Internet的組成、特點(diǎn)和它所提供的服務(wù)。Internet的組成Internet提供的服務(wù)Internet的特點(diǎn)Internet的組成要全面地了解Internet的組成，應(yīng)從物理和邏輯兩個方面來分析。物理上劃分邏輯上劃分物理上劃分從物理硬件上來看，Internet主要由通信線路、路由器、服務(wù)器及客戶機(jī)等部分組成。1）通信線路通信線路是Internet的基礎(chǔ)設(shè)施，通過它將Internet中的路由器、服務(wù)器以及世界各地的計算機(jī)連接起來。目前，通信線路主要分為有線線路和無線線路兩大類。通信線路傳輸能力的高低，通常使用帶寬來進(jìn)行描述，帶寬越寬，其數(shù)據(jù)傳輸能力越強(qiáng)。物理上劃分2）路由器組成Internet的又一重要設(shè)備是路由器，它的作用是當(dāng)數(shù)據(jù)從一個網(wǎng)絡(luò)傳輸?shù)搅硪粋€網(wǎng)絡(luò)時，路由器需要根據(jù)數(shù)據(jù)所要到達(dá)的目的地，為其選擇一條最佳路徑，指明數(shù)據(jù)傳輸路徑。3）服務(wù)器與客戶機(jī)接入Internet的計算機(jī)通?？梢苑譃榉?wù)器和客戶機(jī)兩大類：物理上劃分服務(wù)器：是Internet服務(wù)與信息資源的提供者，作為服務(wù)器的主機(jī)要求具有較高的性能和較大的存儲容量?？蛻魴C(jī)：是Internet服務(wù)與信息資源的使用者，一臺普通的計算機(jī)即可作為客戶機(jī)。服務(wù)器借助于服務(wù)器軟件向用戶提供服務(wù)和管理信息資源，用戶通過客戶機(jī)中各類Internet服務(wù)軟件訪問Internet上的服務(wù)和資源。邏輯上劃分從邏輯上看，為了便于管理，Internet采用了層次網(wǎng)絡(luò)的結(jié)構(gòu)，即采用主干網(wǎng)、次級網(wǎng)和園區(qū)網(wǎng)的逐級覆蓋結(jié)構(gòu)。下面分別進(jìn)行講解。主干網(wǎng)：由代表國家或者行業(yè)的有限個中心節(jié)點(diǎn)通過專線連接形成；主干網(wǎng)覆蓋到國家一級，連接各個國家的因特網(wǎng)互連中心。次級網(wǎng)（區(qū)域網(wǎng)）：由若干個作為中心結(jié)點(diǎn)代理的次中心結(jié)點(diǎn)組成。園區(qū)網(wǎng)（校園網(wǎng)、企業(yè)網(wǎng)）：直接面向用戶的網(wǎng)絡(luò)。Internet提供的服務(wù)目前，Internet能夠提供眾多的服務(wù)，其中包括WWW服務(wù)、電子郵件服務(wù)、文件傳輸服務(wù)、遠(yuǎn)程登錄服務(wù)和網(wǎng)絡(luò)新聞服務(wù)等。下面將進(jìn)行詳細(xì)的介紹。萬維網(wǎng)（WWW）服務(wù)電子郵件（E-mail）服務(wù)文件傳輸（FTP）服務(wù)遠(yuǎn)程登錄（Telnet）服務(wù)網(wǎng)絡(luò)新聞（Usenet）服務(wù)其他服務(wù)萬維網(wǎng)（WWW）服務(wù)WWW是WorldWideWeb的縮寫，它是Internet最重要的服務(wù)之一。WWW是一個集文本、圖像、聲音、影像等多種媒體的信息發(fā)布平臺，同時具有交互式服務(wù)功能，是目前用戶獲取信息的最基本手段。電子郵件（E-mail）服務(wù)電子郵件（E-mail）服務(wù)是目前Internet上使用最廣泛的服務(wù)之一，用戶通過該服務(wù)，可以相互傳遞各種文本、聲音、圖像、視頻等信息。電子郵件系統(tǒng)分為郵件服務(wù)器和郵件客戶兩個部分。文件傳輸（FTP）服務(wù)FTP（FileTransferProtocol）是“文件傳輸協(xié)議”的縮寫，通過該協(xié)議，用戶可以從一臺計算機(jī)向另一臺計算機(jī)復(fù)制并傳送文件。匿名（Anonymous）FTP是專門將共享文件提供大家使用的系統(tǒng)，用戶可以不輸入訪問口令直接訪問和使用這類計算機(jī)。遠(yuǎn)程登錄（Telnet）服務(wù)遠(yuǎn)程登錄（Telnet）服務(wù)允許用戶通過本地計算機(jī)登錄到遠(yuǎn)程計算機(jī)中，不論遠(yuǎn)程計算機(jī)位于何處，只要用戶擁有遠(yuǎn)程計算機(jī)的賬號，就可以使用遠(yuǎn)程計算機(jī)的各處資源，包括程序、數(shù)據(jù)庫和其上的各種設(shè)備。目前，使用最多的遠(yuǎn)程登錄（Telnet）服務(wù)當(dāng)數(shù)在Internet的電子公告板“BBS”中的應(yīng)用。網(wǎng)絡(luò)新聞（Usenet）服務(wù)網(wǎng)絡(luò)新聞（Usenet）服務(wù)最早出現(xiàn)在20世紀(jì)80年代初期。如今，網(wǎng)絡(luò)新聞中不同的討論主題被稱為新聞組（NewsGroups），發(fā)送到新聞組的消息被稱為文章（Articles）。Usenet新聞組被劃分為許多不同的分支題目領(lǐng)域，每個題目領(lǐng)域在許多不同的講座組。其他服務(wù)除上面介紹的Internet基本服務(wù)外，Internet還有如Gopher、Archie、WAIS等服務(wù)。Gopher是基于菜單驅(qū)動的信息查詢軟件。用戶可以對Internet上的遠(yuǎn)程聯(lián)機(jī)信息系統(tǒng)進(jìn)行實(shí)時訪問。其他服務(wù)Archie可自動并定期地查詢大量的InternetFTP服務(wù)器，將其中的文件索引創(chuàng)建到單一的、可搜索的數(shù)據(jù)庫中。該數(shù)據(jù)庫可定期更新。除了接受聯(lián)機(jī)查詢外，許多Archie服務(wù)還受理用戶電子郵件發(fā)來的查詢。廣域信息服務(wù)器WAIS，又稱為數(shù)據(jù)庫的數(shù)據(jù)庫，是供用戶查詢分布在Internet上各類數(shù)據(jù)庫的一個通用接口軟件，該系統(tǒng)能自動進(jìn)行遠(yuǎn)程查詢。Internet的特點(diǎn)Internet是由許許多多屬于不同國家、部門和機(jī)構(gòu)的網(wǎng)絡(luò)互連起來的網(wǎng)絡(luò)（網(wǎng)間網(wǎng)），任何運(yùn)行Internet協(xié)議（TCP/IP協(xié)議），而且愿意接入Internet的網(wǎng)絡(luò)都可以成為Internet的一部分，其用戶可以共享Internet的資源，用戶自身的資源也可向Internet開放?？偟恼f來，Internet具有以下幾個特點(diǎn)：Internet不屬于任何個人、企業(yè)和部門，也沒有任何固定的設(shè)備和傳輸媒體。Internet的特點(diǎn)Internet是一個無所不在的網(wǎng)絡(luò)，它覆蓋到了世界各地，覆蓋了各行各業(yè)。Internet的成員可以自由地“接入”和“退出”Internet。Internet是一個包羅萬象的網(wǎng)絡(luò)，蘊(yùn)含的內(nèi)容異常豐富，天文地理、政治時事、人文喜好等，具有無窮的資源。TCP/IP參考模型如今，伴隨著Internet在全世界的飛速發(fā)展，TCP/IP的廣泛應(yīng)用對網(wǎng)絡(luò)技術(shù)發(fā)展產(chǎn)生了重要的影響。在網(wǎng)絡(luò)體系結(jié)構(gòu)模型中，TCP/IP是另外一個非常重要的體系結(jié)構(gòu)模型，也是實(shí)際生活中接觸最多的應(yīng)用模型。下面將進(jìn)行詳細(xì)的介紹。TCP/IP參考模型概述TCP/IP協(xié)議簇TCP/IP參考模型概述TCP/IP參考模型相對于OSI/RM參考模型顯得簡單明了，其分為應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和主機(jī)-網(wǎng)絡(luò)層4個層次。TCP/IP參考模型概述在TCP/IP參考模型中，去掉了OSI/RM參考模型中的會話層和表示層。將OSI/RM參考模型中的數(shù)據(jù)鏈路層和物理層合并為“主機(jī)-網(wǎng)絡(luò)層”。下面分別介紹各層的主要特點(diǎn)和功能。TCP/IP參考模型概述主機(jī)-網(wǎng)絡(luò)層網(wǎng)絡(luò)互聯(lián)層傳輸層應(yīng)用層主機(jī)-網(wǎng)絡(luò)層在TCP/IP參考模型中，主機(jī)-網(wǎng)絡(luò)層是TCP/IP參考模型中的最低層，負(fù)責(zé)網(wǎng)絡(luò)層與硬件設(shè)備的聯(lián)系。隨著網(wǎng)絡(luò)類型的不同，在這一層的具體實(shí)現(xiàn)方法也不相同。其功能分別如下：物理層主要是指網(wǎng)絡(luò)接口設(shè)備，它相當(dāng)于TCP/IP模型中的最底層，負(fù)責(zé)將上層協(xié)議的數(shù)據(jù)幀通過網(wǎng)絡(luò)設(shè)備發(fā)送到網(wǎng)絡(luò)，或者接收從網(wǎng)絡(luò)到達(dá)的數(shù)據(jù)幀。主機(jī)-網(wǎng)絡(luò)層數(shù)據(jù)鏈路層負(fù)責(zé)處理將上層IP協(xié)議報轉(zhuǎn)換為數(shù)據(jù)幀，包括了硬件接口和ARP、RARP這兩個協(xié)議，主要是用來建立送到物理層上的信息和接收從物理層上傳來的信息。網(wǎng)絡(luò)互聯(lián)層網(wǎng)絡(luò)互聯(lián)層是整個TCP/IP協(xié)議的核心。對應(yīng)于OSI/RM參考模型的網(wǎng)絡(luò)層。負(fù)責(zé)對獨(dú)立傳送的數(shù)據(jù)分組進(jìn)行路由選擇，以保證可以發(fā)送到目的主機(jī)。由于該層中使用的是IP協(xié)議，因此又稱為IP層。網(wǎng)絡(luò)互聯(lián)層還擁有擁塞控制的功能。傳輸層在TCP/IP模型中，使源端主機(jī)和目標(biāo)端主機(jī)上的對等實(shí)體進(jìn)行會話屬于傳輸層的功能。在傳輸層定義了傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報協(xié)議UDP兩種服務(wù)質(zhì)量不同的協(xié)議。TCP協(xié)議是一個面向連接的、可靠的協(xié)議。它將一臺主機(jī)發(fā)出的字節(jié)流無差錯地發(fā)往互聯(lián)網(wǎng)上的其他主機(jī)。TCP協(xié)議還要處理端到端的流量控制。應(yīng)用層TCP/IP模型中，應(yīng)用層實(shí)現(xiàn)了OSI參考模型中會話層和表示層的功能。在應(yīng)用層中，能夠?qū)Σ煌木W(wǎng)絡(luò)應(yīng)用引入不同的應(yīng)用層協(xié)議。TCP/IP協(xié)議簇TCP/IP協(xié)議簇是指作用于計算機(jī)通信的一組協(xié)議，該協(xié)議簇的實(shí)現(xiàn)是以協(xié)議報文格式為基礎(chǔ)，完成對數(shù)據(jù)的交換和傳輸。TCP/IP協(xié)議簇的組成TCP/IP協(xié)議簇的功能TCP/IP協(xié)議簇的組成TCP/IP協(xié)議簇包括了地址解析協(xié)議ARP、逆向地址解析協(xié)議RARP、Internet協(xié)議IP、網(wǎng)際控制報文協(xié)議ICMP、用戶數(shù)據(jù)報協(xié)議UDP、傳輸控制協(xié)議TCP、超文本傳輸協(xié)議HTTP等眾多的協(xié)議。其中最重要的兩個協(xié)議是傳輸控制協(xié)議（TCP）和網(wǎng)際協(xié)議（IP）。TCP/IP協(xié)議簇TCP/IP協(xié)議簇的功能在TCP/IP協(xié)議簇中包含了多種協(xié)議，這些協(xié)議處于TCP/IP參考模型中的各個層次，因此各個協(xié)議的功能也大相徑庭。下面將作一個簡要的介紹。1）應(yīng)用層由于Internet應(yīng)用范圍在不斷地擴(kuò)大，在應(yīng)用層中包括的高層協(xié)議也逐漸增多，目前在其中主要使用的協(xié)議有以下幾種：TCP/IP協(xié)議簇的功能FTP：文件傳輸協(xié)議，用于實(shí)現(xiàn)交互式文件傳輸和文件管理功能。HTTP：超文本傳輸協(xié)議，用于Internet上的WWW服務(wù)。DNS：域名服務(wù)，用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備域名到IP地址的映射。SMTP：簡單電子郵件協(xié)議，用于實(shí)現(xiàn)電子郵件傳送功能。TELNET：網(wǎng)絡(luò)終端仿真協(xié)議，實(shí)現(xiàn)遠(yuǎn)程系統(tǒng)登錄功能，以方便用戶使用遠(yuǎn)程主機(jī)中共享的資源。TCP/IP協(xié)議簇的功能2）傳輸層在傳輸層中定義了傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議兩種協(xié)議。TCP：一種可靠的面向連接的協(xié)議，可以將源主機(jī)的字節(jié)流無差錯地傳送到目的主機(jī)。在多數(shù)情況下，為保證將通信子網(wǎng)中的傳輸錯誤全部處理，傳輸層使用TCP協(xié)議。UDP：一種不可靠的無連接協(xié)議，由應(yīng)用層完成其分組傳輸中的差錯控制。TCP/IP協(xié)議簇的功能3）網(wǎng)絡(luò)互聯(lián)層在網(wǎng)絡(luò)互聯(lián)層中定義了一種面向無連接的協(xié)議——IP協(xié)議。它負(fù)責(zé)將發(fā)送主機(jī)的數(shù)據(jù)分組以無連接的方式發(fā)送到目的主機(jī)。由于是無連接方式，各數(shù)據(jù)分組在Internet中是獨(dú)立傳輸?shù)?，所以IP層必須負(fù)責(zé)數(shù)據(jù)分組傳送過程中的路由選擇和差錯控制。IP層是TCP/IP的核心，這是因?yàn)镮P為TCP和UDP提供服務(wù)，TCP和UDP都通過IP來發(fā)送、接收數(shù)據(jù)。TCP/IP協(xié)議簇的功能IP層還包括兩個重要的協(xié)議：地址解析協(xié)議（ARP）和逆向地址解析協(xié)議（RARP）。這兩個協(xié)議用于需要進(jìn)行IP地址與物理地址轉(zhuǎn)換的場合。ARP根據(jù)結(jié)點(diǎn)的IP地址查找物理地址；RARP則根據(jù)結(jié)點(diǎn)的物理地址查找IP地址。4）主機(jī)-網(wǎng)絡(luò)層主機(jī)-網(wǎng)絡(luò)層可連接多種物理網(wǎng)絡(luò)協(xié)議。盡管這些網(wǎng)絡(luò)的差異很大，但通過相應(yīng)的接口程序?qū)⑺鼈兊木W(wǎng)絡(luò)數(shù)據(jù)組裝成統(tǒng)一的IP數(shù)據(jù)分組，因此都可以在Internet上傳送。TCP/UDP協(xié)議在TCP/IP協(xié)議簇中，傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）在傳輸層中運(yùn)行。TCP和UDP的協(xié)議數(shù)據(jù)單元都要經(jīng)過IP封裝成IP數(shù)據(jù)報來傳送。TCP提供端到端的、可靠的、面向連接的服務(wù)；UDP提供端到端的、不可靠的、無連接的服務(wù)。下面將分別對這兩個協(xié)議進(jìn)行詳細(xì)的介紹。TCP/UDP協(xié)議端口TCP協(xié)議UDP協(xié)議端口端口（port）是傳輸層中最為重要的一個概念。TCP和UDP都使用端口進(jìn)行尋址，它們分別擁有自己的端口號。這些端口號可以共存于一臺主機(jī)而互不干擾。在多任務(wù)環(huán)境中，每個端口對應(yīng)于主機(jī)上的一個進(jìn)程。TCP協(xié)議TCP是一個面向連接的傳輸層協(xié)議。由于TCP協(xié)議在各個行業(yè)中的成功應(yīng)用，它已成為事實(shí)上的網(wǎng)絡(luò)標(biāo)準(zhǔn)，廣泛應(yīng)用于各種網(wǎng)絡(luò)主機(jī)間的通信。TCP協(xié)議的功能TCP報文的首部格式TCP協(xié)議的功能由于IP提供的是不可靠的數(shù)據(jù)報服務(wù)。為了保證數(shù)據(jù)傳輸?shù)恼_性，需要通過TCP協(xié)議對IP協(xié)議進(jìn)行“彌補(bǔ)”，以提供一個可靠的、面向連接的、全雙工的數(shù)據(jù)流傳輸服務(wù)。TCP協(xié)議的主要功能介紹如下。建立和釋放連接：TCP允許在不同主機(jī)之間建立連接，以實(shí)現(xiàn)全雙工數(shù)據(jù)傳輸，傳輸結(jié)束后自動釋放連接。在連接時，TCP采用著名的“3次握手”技術(shù)，釋放時采用“文雅釋放”技術(shù)。TCP協(xié)議的功能基本數(shù)據(jù)傳輸：為了方便數(shù)據(jù)傳輸，上層數(shù)據(jù)被TCP分成若干段，每段是一個傳輸層的協(xié)議數(shù)據(jù)單元。通過TCP將每個段封裝在IP數(shù)據(jù)報中傳輸?？煽啃钥刂疲篢CP為了保證數(shù)據(jù)傳輸?shù)目煽啃?，采用了滑動窗口、超時重傳、流量控制等技術(shù)。多路復(fù)用：TCP可以為多個進(jìn)程提供并行傳輸連接，實(shí)現(xiàn)更大的傳輸速率。TCP報文的首部格式TCP報文由報文首部和數(shù)據(jù)兩大部分組成。TCP的全部功能都在其報文首部中全部體現(xiàn)出來。TCP報文首部的固定大小為20個字節(jié)。TCP報文格式TCP報文的首部格式下面將對報文格式首部中的主要字段進(jìn)行簡單的解釋：源端口和目的端口（各占16bit）：TCP端口是指TCP與應(yīng)用層服務(wù)的接口，不同的服務(wù)其接口也各不相同。序列號（占32bit）：TCP報文中的數(shù)據(jù)流是按字節(jié)進(jìn)行編號的。TCP報文中的序列號是指本報文中數(shù)據(jù)部分的起始字節(jié)號。TCP報文的首部格式確認(rèn)號（占32bit）：TCP報文中的確認(rèn)號是指接收方希望收到發(fā)送方發(fā)送的下一個報文中數(shù)據(jù)部分的第一個字節(jié)序號。需要注意與前面的序列號之間的區(qū)別。數(shù)據(jù)偏移（占4bit）：數(shù)據(jù)偏移指明了TCP報文首部的長度。TCP報文首部中，通常都有可變長度的選項(xiàng)，因此TCP報文中首部長度也是可變的。TCP報文的首部格式窗口大?。捍翱诖笮∈侵附邮辗骄彺鎱^(qū)可用空間的大小，單位是字節(jié)，TCP通過可變大小的窗口來進(jìn)行流量控制。接收方使用窗口通知發(fā)送方自己的接收能力，而發(fā)送方據(jù)此確定發(fā)送窗口的大小。校驗(yàn)和（占16bit）：TCP可以對報文，包括首部和數(shù)據(jù)兩部分進(jìn)行校驗(yàn)和計算。選項(xiàng)（長度可變）：最大報文段長度是TCP中唯一的選項(xiàng)。該字段指明了接收端緩存區(qū)中所能接收的報文中最大的數(shù)據(jù)字段長度。UDP協(xié)議UDP與TCP最大的不同在于UDP是面向無連接的，不使用流量控制和差錯控制。UDP提供的是不可靠的傳輸服務(wù)。由于UDP比TCP簡單，因此開銷小、效率高。應(yīng)用層中的簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）等都使用UDP。UDP報文格式UDP協(xié)議下面對UDP報文首部中的主要字段加以說明：源端口和目的端口：UDP的端口是指TCP和應(yīng)用層服務(wù)的接口，通常源端口和目的端口各占16bit，不同的服務(wù)有不同的端口。長度：該項(xiàng)目指明了UDP報文的長度，通常占16bit。校驗(yàn)和：UDP可以對報文，包括首部和數(shù)據(jù)兩部分進(jìn)行校驗(yàn)和計算，通常該字段占據(jù)16bit。IP協(xié)議IP協(xié)議是屬于網(wǎng)絡(luò)層協(xié)議，其提供了無連接的數(shù)據(jù)報傳輸機(jī)制。IP協(xié)議主要是解決網(wǎng)絡(luò)中地址的問題。IP協(xié)議的服務(wù)IP地址子網(wǎng)（Subnet）和子網(wǎng)掩碼（Mask）IP協(xié)議的服務(wù)IP協(xié)議向傳輸層提供一種無連接的、不可靠的服務(wù)。正因?yàn)槿绱?，?shù)據(jù)交換前無須在發(fā)方和收方之間建立一條專用通信線路。發(fā)送方只需將數(shù)據(jù)通過網(wǎng)絡(luò)接口傳送到網(wǎng)絡(luò)上，數(shù)據(jù)的傳送路徑根據(jù)網(wǎng)絡(luò)當(dāng)時的實(shí)際情況來選擇，以站點(diǎn)接力的方式將數(shù)據(jù)傳送到接收方。IP地址在連入Internet的計算機(jī)中，都必須擁有唯一的網(wǎng)內(nèi)地址，以便相互識別，這個地址就稱為IP地址。IP地址結(jié)構(gòu)IP地址分類特殊IP地址IP地址結(jié)構(gòu)目前，在Internet中使用的IP地址采用IPv4結(jié)構(gòu)，它的層次是按照邏輯網(wǎng)絡(luò)結(jié)構(gòu)劃分的。一個IP地址劃分為網(wǎng)絡(luò)地址和主機(jī)地址兩個部分。網(wǎng)絡(luò)地址標(biāo)識著一個邏輯網(wǎng)絡(luò)，而主機(jī)地址則標(biāo)識該網(wǎng)絡(luò)中的一臺主機(jī)。IP地址結(jié)構(gòu)Internet網(wǎng)絡(luò)信息中心NIC統(tǒng)一分配IP地址，它負(fù)責(zé)分配最高級的IP地址，并授權(quán)下一級網(wǎng)絡(luò)中心，使其在各自管轄的計算機(jī)網(wǎng)絡(luò)系統(tǒng)中可以再次分配IP地址。IP地址分類IPv4結(jié)構(gòu)的IP地址長度為4字節(jié)（32位）。IP地址的32位通常寫成4個十進(jìn)制的整數(shù)，每個整數(shù)對應(yīng)一個字節(jié)。這種表示方法稱為“點(diǎn)分十進(jìn)制表示法”。根據(jù)網(wǎng)絡(luò)地址和主機(jī)地址的不同劃分，將IP地址劃分為A、B、C、D、E5類。A、B、C是基本類，D、E類作為多目廣播和保留使用。IP地址的分類IP地址分類A類IP地址：用前面8位來標(biāo)識網(wǎng)絡(luò)地址，其中規(guī)定最前面一位為0；而后面的24位標(biāo)識主機(jī)地址，即A類地址的第一段取值（也即網(wǎng)絡(luò)號）可以是00000001～01111111之間任意一個數(shù)字，轉(zhuǎn)換為十進(jìn)制后即為1～128之間。主機(jī)號沒有做硬性規(guī)定，所以它的IP地址范圍為～55。每個A類網(wǎng)絡(luò)最多可以連接16777214臺計算機(jī)，這類地址數(shù)是最少的，但所允許連接的計算機(jī)是最多的。A類地址適用于少數(shù)規(guī)模很大的網(wǎng)絡(luò)。IP地址分類B類IP地址：用前面16位來標(biāo)識網(wǎng)絡(luò)地址，其中最前面兩位規(guī)定為10；后面的16位標(biāo)識主機(jī)號，也就是說B類地址的第一段10000000～10111111，轉(zhuǎn)換成十進(jìn)制后即為128～191之間，第一段和第二段合在一起表示網(wǎng)絡(luò)地址，它的地址范圍為～55。B類地址適用于中等規(guī)模的網(wǎng)絡(luò)。IP地址分類C類IP地址：用前面24位來標(biāo)識網(wǎng)絡(luò)地址，其中最前面三位規(guī)定為110；而后面的8位標(biāo)識主機(jī)號。這樣C類地址的第一段取值為11000000～11011111之間，轉(zhuǎn)換成十進(jìn)制后即為192～223。第一段、第二段、第三段合在一起表示網(wǎng)絡(luò)號，最后一段標(biāo)識網(wǎng)絡(luò)上的主機(jī)號，它的地址范圍為～55。C類地址適用于小公司和研究機(jī)構(gòu)等小規(guī)模的網(wǎng)絡(luò)。IP地址分類D類IP地址：它用于多重廣播組，一個多重廣播組可能包括1臺或更多主機(jī)，或根本沒有。D類地址的最高位為1110，第一段取值為11100000～11101111，轉(zhuǎn)換成十進(jìn)制即為224～239，剩余的位設(shè)計客戶機(jī)參加的特定組，它的地址范圍為～55。IP地址分類E類IP地址：這是一個通常不用的實(shí)驗(yàn)性地址，保留作為以后使用。E類地址的最高位為11110，第一段八位體為11110000～11110111，轉(zhuǎn)換成十進(jìn)制即為240～247。它的地址范圍為～55。特殊IP地址在IP地址中，保留和存在著許多有著特殊用途的IP地址。下面將進(jìn)行簡單的介紹。1）網(wǎng)絡(luò)地址當(dāng)一個IP地址的主機(jī)地址部分為0時，它表示一個網(wǎng)絡(luò)地址。2）專用地址特殊IP地址有一些是專門用于一個機(jī)構(gòu)進(jìn)行內(nèi)部通信的IP地址，稱為專用地址或本地地址。這些地址的用途非常特殊，因此不能在Internet中進(jìn)行相互通信。3）廣播地址當(dāng)一個IP地址的主機(jī)地址部分為1時，它表示一個廣播地址。子網(wǎng)（Subnet）和子網(wǎng)掩碼（Mask）

子網(wǎng)和子網(wǎng)掩碼也是經(jīng)常在網(wǎng)絡(luò)中出現(xiàn)的術(shù)語，下面分別進(jìn)行詳細(xì)的講解。什么是子網(wǎng)子網(wǎng)劃分子網(wǎng)掩碼什么是子網(wǎng)一個網(wǎng)絡(luò)可能會有多個物理網(wǎng)段，通常把這些網(wǎng)段稱為子網(wǎng)。子網(wǎng)把原有IP地址的主機(jī)地址空間再次劃分為子網(wǎng)和主機(jī)兩部分，這樣IP地址結(jié)構(gòu)則由網(wǎng)絡(luò)地址、子網(wǎng)地址和主機(jī)地址3部分組成。什么是子網(wǎng)使用不同的網(wǎng)絡(luò)號或子網(wǎng)號可以將一個網(wǎng)絡(luò)劃分成若干個子網(wǎng)。劃分子網(wǎng)后的好處非常多，如通過劃分子網(wǎng)，每個單位可以將復(fù)雜的物理網(wǎng)段連接成一個網(wǎng)絡(luò)，并且可以完成下列功能：混合使用多種技術(shù)，例如以太網(wǎng)和令牌環(huán)網(wǎng)?？朔?dāng)前技術(shù)的限制，例如突破每段主機(jī)的最大數(shù)量限制。通過重定向傳輸和減少廣播等傳輸方式，減輕網(wǎng)絡(luò)的擁擠。子網(wǎng)劃分在劃分子網(wǎng)前，要先分析網(wǎng)絡(luò)的需求和網(wǎng)絡(luò)規(guī)劃。一般情況下應(yīng)該遵循這樣的準(zhǔn)則：確定網(wǎng)絡(luò)中的物理段數(shù)量，這樣才能夠更加合理地劃分子網(wǎng)。根據(jù)需求定義整個網(wǎng)絡(luò)的子網(wǎng)屏蔽碼、每個子網(wǎng)唯一的子網(wǎng)號和每個子網(wǎng)的主機(jī)號范圍，讓用戶在使用時更加方便。子網(wǎng)掩碼確定網(wǎng)絡(luò)需要的子網(wǎng)數(shù)量及每個子網(wǎng)的主機(jī)數(shù)，這是定義子網(wǎng)前必須做的工作。然后再根據(jù)此來確定需要從IP地址空間中截取多少個數(shù)據(jù)位作為子網(wǎng)地址。子網(wǎng)掩碼是用來將網(wǎng)絡(luò)劃分成若干個子網(wǎng)時定義的子網(wǎng)屏蔽。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)

劃分子網(wǎng)兩級IP結(jié)構(gòu)的局限： 第一，IP地址空間的利用率有時很低。 第二，給每一個物理網(wǎng)絡(luò)分配一個網(wǎng)絡(luò)號會使路由表變得太大，因而使網(wǎng)絡(luò)性能變壞。 第三，兩級的IP地址不夠靈活。 解決這些問題的辦法是，讓網(wǎng)絡(luò)內(nèi)部可以分成多個部分，但對外卻像一個單獨(dú)網(wǎng)絡(luò)一樣。從1985年起在IP地址中就增加了一個“子網(wǎng)號字段”，使兩級的IP地址變成三級的IP地址。這種做法叫做劃分子網(wǎng)(subnetting)[RFC950]，或子網(wǎng)尋址或子網(wǎng)路由選擇。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng) 也可以使用跟前面類似的等式來表示三級IP地址： IP地址::={<網(wǎng)絡(luò)號>,<子網(wǎng)號>,<主機(jī)號>} 下面通過一個B類地址和一個C類地址的子網(wǎng)劃分來讓大家了解子網(wǎng)是如何劃分的。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)（1）B類地址的子網(wǎng)劃分表6-1列出了B類地址的子網(wǎng)劃分選擇。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)B類地址的子網(wǎng)劃分選擇

IP劃分子網(wǎng)和構(gòu)造超網(wǎng) 注：上表的第2列是子網(wǎng)掩碼，這個概念在講完子網(wǎng)的劃分方法后給大家詳細(xì)介紹。 如果順序分配的話，16個子網(wǎng)的子網(wǎng)地址如下表所示。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)B類地址169.12的子網(wǎng)劃分

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)

下表中顯示了順序分配的這4個子網(wǎng)的子網(wǎng)地址。總部子網(wǎng)的繼續(xù)劃分

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)（2）C類地址的子網(wǎng)劃分

C類地址的子網(wǎng)劃分和B類地址的子網(wǎng)劃分很相似，只不過可供選擇的子網(wǎng)劃分方式要少些，這是因?yàn)樯暾埖降腃類地址要比申請到的B類地址少8個可供支配的位數(shù)，例如C類地址217.19.56和B類地址169.12相比，前者從NIC申請到了32位IP中的24位，而后者只拿到了32位IP中的16位。顯然，可供支配的IP位越多網(wǎng)絡(luò)規(guī)模也就越大。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng) 現(xiàn)在以這個C類地址217.19.56的子網(wǎng)劃分為例，介紹一下C類地址的子網(wǎng)劃分。使用4位的子網(wǎng)號，這個C類地址可以被劃分成14（24-2）個子網(wǎng)，每個子網(wǎng)可以容納14（24-2）臺主機(jī)。劃分情況顯示在表中。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)C類地址的子網(wǎng)劃分

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)子網(wǎng)掩碼 來看一下169.12的第一個子網(wǎng)169.12.8經(jīng)過子網(wǎng)劃分后各子網(wǎng)連接到Internet的通信。如圖所示。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)將子網(wǎng)169.12.8繼續(xù)劃分子網(wǎng)，但對外仍是一個網(wǎng)絡(luò)

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)子網(wǎng)掩碼。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)子網(wǎng)掩碼的計算

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)無分類編址CIDR 劃分子網(wǎng)在一定程度上緩解了因特網(wǎng)在發(fā)展中遇到的困難。然而在1992年因特網(wǎng)仍然面臨三個必須盡早解決的問題，這就是：

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)（1）B類地址在1992年已分配了一半，眼看就要在1994年3月全部分配完畢?。?）因特網(wǎng)主干網(wǎng)上的路由表中的項(xiàng)目數(shù)急劇增長（從幾千個增長到幾萬個）。（3）整個IPv4的地址空間最終將全部耗盡。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng) 假定上述公司有5個部門，那在/22還可以進(jìn)行地址塊的劃分。下表中列出了一種劃分。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)CIDR地址塊的劃分

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)2．最長前綴匹配 在使用CIDR時，由于采用了網(wǎng)絡(luò)前綴這種記法，IP地址由網(wǎng)絡(luò)前綴和主機(jī)號這兩個部分組成，因此在路由表中的項(xiàng)目也要有相應(yīng)的改變。這時，每個項(xiàng)目由“網(wǎng)絡(luò)前綴”和“下一跳地址”組成。但是在查找路由表時可能會得到不止一個匹配結(jié)果。例如：

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)目的IP地址是33（二進(jìn)制形式：）而在路由表中有下面的兩項(xiàng)：1100101010110010100*下一跳地址11100101010110010100011*下一跳地址2上面兩項(xiàng)的掩碼分別是：1111111111111111111000000000000011111111111111111111110000000000

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)如果拿目的IP地址33同上面的兩個掩碼相“與”，結(jié)果都是匹配的：33和11111111111111111110000000000000逐比特相“與”=/1933和11111111111111111111110000000000逐比特相“與”=/22

IP劃分子網(wǎng)和構(gòu)造超網(wǎng) 這樣就帶來了一個問題：應(yīng)當(dāng)從這些匹配結(jié)果中選擇哪一條路由呢？ 正確的答案是：應(yīng)當(dāng)從匹配結(jié)果中選擇具有最長網(wǎng)絡(luò)前綴的路由。這叫做最長前綴匹配。選擇最長網(wǎng)絡(luò)前綴的原因是網(wǎng)絡(luò)前綴越長，其地址塊就越小，因而路由就越具體。

IP劃分子網(wǎng)和構(gòu)造超網(wǎng)IPv6技術(shù)介紹IPv6簡介IPv4的局限性：

1、IP地址枯竭；

2、NAT技術(shù)破壞了端到端應(yīng)用模型；

3、地址配置與使用不夠簡便；

4、IPv4協(xié)議本身的安全性不足；

5、QoS功能難以滿足顯示要求。

IPv6的技術(shù)優(yōu)勢：

1、巨大的地址空間；

2、自動配置用戶地址，提供即插即用功能；

3、提供更好的QoS；

4、內(nèi)置的安全機(jī)制，如IPSec；

5、增強(qiáng)了對移動IP的支持。IPv6基礎(chǔ)地址格式

1、首選格式：

IPv6地址表示為冒號分十六進(jìn)制格式

例如：21DA:00D3:0000:0000:02AA:00FF:FE22:9C5A

2、壓縮表示：

例如，上面的地址可表示為：21DA:D3::2AA:FF:FE22:9C5A

一個IPv6地址只允許使用一次“::”

3、內(nèi)嵌IPv4地址的IPv6地址表示：

①

IPv4兼容IPv6地址例如：::

②IPv4映射IPv6地址例如：::FFFF:

地址前綴

IPv6地址的地址前綴同IPv4中的CIDR一樣，依然使用“地址/前綴長度”表示，例如：2001:da8:0:2::/64

IPv6基礎(chǔ)IPv6地址類型

IPv6基礎(chǔ)IPv6地址類型

1、單播地址

只能分配給一個節(jié)點(diǎn)上的一個接口，即尋址到該單播地址的數(shù)據(jù)報文最終會被發(fā)送到一個唯一的接口。

2、組播（多播）地址

所謂組播，是指一個源節(jié)點(diǎn)發(fā)送的單個數(shù)據(jù)報文能被特定的多個目的節(jié)點(diǎn)接收到，路由器轉(zhuǎn)發(fā)組播數(shù)據(jù)是根據(jù)組播路由協(xié)議學(xué)習(xí)到得拓?fù)浣Y(jié)構(gòu)進(jìn)行的，適合于One-to-Many的通信場合。

在IPv6網(wǎng)絡(luò)中，組播地址也由特定的前綴FF::/8來表示。

3、任播（泛播）地址

這是IPv6特有的地址類型，用來標(biāo)示一組網(wǎng)絡(luò)接口（通常屬于不同的節(jié)點(diǎn)）。但與組播地址不同，路由器會將目的地址作為任播地址的數(shù)據(jù)報文，發(fā)給距本路由器最近的一個網(wǎng)絡(luò)接口。適用于One-to-One-of-Many的通信場合。DHCPv6DHCPv6概述

在IPv6網(wǎng)絡(luò)中，主機(jī)可以在沒有DHCP服務(wù)器的情況下，通過無狀態(tài)自動配置動態(tài)獲得地址。但作為有狀態(tài)地址自動配置的方式之一，DHCPv6仍然有著不可比擬的諸多優(yōu)勢。

當(dāng)需要動態(tài)指定DNS服務(wù)器時；

當(dāng)不希望MAC地址成為IPv6地址一部分時；

當(dāng)需要良好的可擴(kuò)展性時;

……

DHCPv6仍然是最好的選擇！DHCPv6DHCPv6的交互過程

當(dāng)服務(wù)器和客戶端不在同一網(wǎng)段時，就需要使用DHCPv6中繼代理。

對于服務(wù)器和客戶端而言，中繼代理的存在是透明的。

IPv6過渡技術(shù)IPv6除了能滿足目前所有應(yīng)用的地址需求，而且還有許多新的特點(diǎn)，使得它的普及只是個時間問題。但很明顯，IPv6不可能一下子取代IPv4，只有IPv6慢慢的發(fā)展壯大，IPv4才會逐漸退出，這必然是一個緩慢的過程。IPv6協(xié)議與IPv4協(xié)議不兼容，因此IPv4和IPv6之間的互通成為了這個過程的關(guān)鍵，即IPv6孤島的鏈接活著IPv4孤島的鏈接。目前，成熟的技術(shù)主要有以下三種：

1、雙協(xié)議棧（DualStack）

2、隧道技術(shù)（Tunnel）

3、網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議NAT-PT（NetworkAddressTranslationTranslation）IPv6過渡技術(shù)雙協(xié)議棧技術(shù)

指在設(shè)備上同時啟用IPv4和IPv6協(xié)議棧，如下圖：

雙協(xié)議棧技術(shù)史IPv6過渡技術(shù)中應(yīng)用最廣泛的一種過渡技術(shù)，同時它也是所有其他過渡技術(shù)的基礎(chǔ)。IPv6IPv4鏈路層TCP/UDPIPv6/IPv4應(yīng)用層IPv6過渡技術(shù)隧道技術(shù)

IPv6隧道將IPv6報文封裝在IPv4報文中，穿越IPv4網(wǎng)絡(luò)進(jìn)行通信，它要求隧道兩端的網(wǎng)絡(luò)設(shè)備能夠支持雙棧協(xié)議。

隧道技術(shù)不能實(shí)現(xiàn)IPv4主機(jī)與IPv6主機(jī)直接通信。IPv6HeaderIPv6DataIPv6HeaderIPv6DataIPv4HeaderIPv6HeaderIPv6DataIPv6過渡技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換

帶協(xié)議轉(zhuǎn)換功能的網(wǎng)絡(luò)地址轉(zhuǎn)換器，通過修改協(xié)議報文頭來轉(zhuǎn)換網(wǎng)絡(luò)地址，實(shí)現(xiàn)了只安裝IPv6的主機(jī)和只安裝IPv4的主機(jī)的相互通信。

IPv6HeaderIPv6DataIPv4HeaderIPv4DataIPv6安全I(xiàn)Pv6的ACL

ACL（AccessControlList,訪問控制列表）是用來實(shí)現(xiàn)流識別功能的。

ACL根據(jù)一系列的匹配條件對報文進(jìn)行分類，這些條件可以使報文的源地址、目的地址、端口號等。網(wǎng)絡(luò)設(shè)備可以使用ACL來實(shí)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)報文過濾。IPv6

ACL的分類

IPv6

ACL根據(jù)序號來區(qū)分不同種類的ACL。IPv6ACL的匹配順序

1、按配置順序匹配

直接按照用戶配置規(guī)則的先后順序進(jìn)行匹配。

2、按深度優(yōu)先方式匹配

把指定報文地址范圍最小的規(guī)則排在最前面。

IPv6安全I(xiàn)PSec

IPSec是IETF指定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量、客戶操作、基于密碼學(xué)的安全保證。

IPSec為IPv4的可選組件，而IPv6內(nèi)嵌了IPSec，為通信雙方提供了下述的安全服務(wù)：

①數(shù)據(jù)機(jī)密性（Confidentiality）

②數(shù)據(jù)完整性（DataIntegrity）

③數(shù)據(jù)來源認(rèn)證（DataOriginAuthentication）

④防重放（Anti-Replay）

相比IPv4，IPv6中IPsec采用了全新的報文結(jié)構(gòu)，增加了擴(kuò)展頭部。

IPv6安全ESP在IPv6中的封裝

ESP傳輸模式封裝

ESP隧道模式封裝

ESP（EncapsulatingSecurityPayload）封裝安全負(fù)載。

封裝格式中的紅色字體表示ESP的加密范圍，可以看出ESP頭。ESP可以用來保護(hù)TCP/UDP等上層協(xié)議數(shù)據(jù)，也可以保護(hù)整個IPv6報文。原始IPv6頭逐跳選項(xiàng)頭、路由頭、分段頭ESP目的地選項(xiàng)頭TCP數(shù)據(jù)ESP尾ESPICV新IPv6頭新擴(kuò)展頭ESP原始IPv6頭原擴(kuò)展頭TCP數(shù)據(jù)ESP尾ESPICVIPv6安全AH在IPv6中的封裝

AH（AuthenticationHeader，認(rèn)證頭協(xié)議）也提供了數(shù)據(jù)的完整性、數(shù)據(jù)源驗(yàn)證一集抗重放攻擊的能力，但是不能用它來保證數(shù)據(jù)的機(jī)密性。這是因此，AH頭比ESP簡單的多。AH的驗(yàn)證范圍與ESP有區(qū)別，范圍包括整個IPv6數(shù)據(jù)報。

AH傳輸模式封裝

AH隧道模式封裝原始IPv6頭擴(kuò)展頭AHTCP數(shù)據(jù)新IPv6頭新擴(kuò)展頭AH原始IPv6原擴(kuò)展頭TCP數(shù)據(jù)域名系統(tǒng)大家都知道，IP地址是采用點(diǎn)分十進(jìn)制表示的。由于數(shù)字過多，此種方式不便于用戶進(jìn)行記憶，也不能從客觀反映出主機(jī)的相關(guān)信息。出于此種原因，Internet中采用了層次結(jié)構(gòu)的域名系統(tǒng)（DNS，DomainNameSystem）來協(xié)助管理IP地址。域名的層次結(jié)構(gòu)我國的域名結(jié)構(gòu)域名解析和域名服務(wù)器域名的層次結(jié)構(gòu)Internet域名具有一定的層次結(jié)構(gòu)，其可以大致分為頂級域名（TOP-LEVEL）、二級域名（SECOND-LEVEL）、子域（SUB-DOMAIN）等。整個Internet網(wǎng)被劃分成幾個頂級域，頂級域名采用兩種劃分模式：組織模式和地理模式。組織模式的每個頂級域規(guī)定了一個通用的頂級域名。域名的層次結(jié)構(gòu)層次結(jié)構(gòu)也應(yīng)用于Internet主機(jī)域名中，其從右至左依次為頂級域名、二級域名、三級域名……，各級域名之間用點(diǎn)“.”隔開。每一級域名由英文字母、符號和數(shù)字構(gòu)成。Internet主機(jī)域名的一般格式為：三級域名.二級域名.頂級域名由于域名的設(shè)計往往和單位、組織的名稱有聯(lián)系，方便了人們通過域名來查找相關(guān)單位的網(wǎng)絡(luò)地址。我國的域名結(jié)構(gòu)在我國，cn作為頂級域名，這是由中國互聯(lián)網(wǎng)信息中心（CNNIC）負(fù)責(zé)管理的。頂級域名cn按照組織模式和地理模式被劃分為多個二級域名。對應(yīng)于組織模式的包括com、edu、gov、net、org，對應(yīng)于地理模式的是行政區(qū)代碼。中國互聯(lián)網(wǎng)信息中心（CNNIC）將二級域名的管理權(quán)授予下一級的管理部門進(jìn)行管理。例如，CERNET網(wǎng)絡(luò)中心擁有二級域名edu的管理權(quán)。域名解析和域名服務(wù)器使用域名是為了用戶方便記憶，但在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時，網(wǎng)絡(luò)設(shè)備仍然只識別IP地址。因此，在Internet上需要通過域名服務(wù)器將該域名映射為相對應(yīng)的IP地址，這樣才能夠真正訪問該主機(jī)，該過程稱為域名解析。域名解析和域名服務(wù)器實(shí)現(xiàn)域名解析的硬件設(shè)備是域名服務(wù)器（DNS），它是一個安裝有域名解析處理軟件的主機(jī)，同時在Internet中擁有自己的IP地址。Internet中存在著大量的域名服務(wù)器，每臺域名服務(wù)器中都設(shè)置了一個數(shù)據(jù)庫，其中保存著它所負(fù)責(zé)區(qū)域內(nèi)的主機(jī)域名和主機(jī)IP地址的對照表，這個對照表通常情況下是不能更改的。由于域名結(jié)構(gòu)是有層次性的，因此形成一棵由域名服務(wù)器組成的邏輯樹，每一個域名服務(wù)器需要知道根域名服務(wù)器和其父結(jié)點(diǎn)的名字。域名服務(wù)器的層次結(jié)構(gòu)域名解析和域名服務(wù)器在Internet中，域名解析方式有遞歸解析和反復(fù)解析兩種方式。在遞歸解析過程中，應(yīng)用程序只需向本地域名服務(wù)器發(fā)送一次請求，域名服務(wù)器系統(tǒng)能夠向根域名服務(wù)器發(fā)出查詢請求，指導(dǎo)查找到相對應(yīng)的IP地址，然后將查詢結(jié)果按原路返回到應(yīng)用程序中，一次性完成全部域名地址變換。域名解析和域名服務(wù)器反復(fù)解析過程中，當(dāng)應(yīng)用程序向本地域名服務(wù)器發(fā)送請求后，若在本地域名服務(wù)器上查找不到相應(yīng)的IP地址時，它會將可能的授權(quán)域名服務(wù)器通知應(yīng)用程序，此時應(yīng)用程序需要向該授權(quán)域名服務(wù)器再次發(fā)送請求，如此反復(fù)，直到完成解析為止。常用網(wǎng)絡(luò)命令Ping01Nbtstat02Netstat03Tracert04Net05At06Arp07IpConfig08計算機(jī)網(wǎng)絡(luò)經(jīng)典命令常用網(wǎng)絡(luò)命令——ping一、什么是ping二、ping的工作流程三、ping命令常用參數(shù)詳解四、ping的常見反饋信息五、主要用處常用網(wǎng)絡(luò)命令——ping一、什么是pingPING(PacketInternetGrope)，因特網(wǎng)包探索器，用于測試網(wǎng)絡(luò)連接量的程序。Ping發(fā)送一個ICMP回聲請求消息給目的地并報告是否收到所希望的ICMP回聲應(yīng)答。是DOS命令，一般用于檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令，也叫時延，其值越大，速度越慢。同時某些病毒木馬會強(qiáng)行大量遠(yuǎn)程執(zhí)行ping命令搶占你的網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)變慢，網(wǎng)速變慢。

它所利用的原理：網(wǎng)絡(luò)上的機(jī)器都有唯一確定的IP地址，我們給目標(biāo)IP地址發(fā)送一個數(shù)據(jù)包，對方就要返回一個同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包我們可以確定目標(biāo)主機(jī)的存在，可以初步判斷目標(biāo)主機(jī)的操作系統(tǒng)等。常用網(wǎng)絡(luò)命令——ping二、PING的工作流程常用網(wǎng)絡(luò)命令——ping三、PING命令常用參數(shù)詳解-t表示將不間斷向目標(biāo)IP發(fā)送數(shù)據(jù)包，直到我們強(qiáng)迫其停止。用法：ping-t

-l定義發(fā)送數(shù)據(jù)包的大小，默認(rèn)為32字節(jié)，我們利用它可以最大定義到65500字節(jié)。用法：ping[-llength]

-n定義向目標(biāo)IP發(fā)送數(shù)據(jù)包的次數(shù)，默認(rèn)為4次。用法：ping[-ncount]常用網(wǎng)絡(luò)命令——ping四、PING的常見反饋信息Requesttimedout表示為對方拒絕接收你發(fā)給它的數(shù)據(jù)包造成數(shù)據(jù)包丟失。大多數(shù)的原因可能是對方裝有防火墻或已下線，還有就是本機(jī)的IP不正確和網(wǎng)關(guān)設(shè)置錯誤。BadIPaddress表示沒有連接到DNS服務(wù)器，所以無法解析這個IP地址，也可能是IP地址不存在。Unknownhost表示該遠(yuǎn)程主機(jī)的名字不能被域名服務(wù)器（DNS）轉(zhuǎn)換成IP地址。故障原因可能是域名服務(wù)器有故障，或者其名字不正確，或者網(wǎng)絡(luò)管理員的系統(tǒng)與遠(yuǎn)程主機(jī)之間的通信線路有故障。Sourcequenchreceived表示對方或中途的服務(wù)器繁忙無法回應(yīng)。常用網(wǎng)絡(luò)命令——ping五、主要用處1、用來檢測網(wǎng)絡(luò)是否通暢2、根據(jù)域名得到服務(wù)器IP3、根據(jù)ping返回的TTL值來判斷對方所使用的操作系統(tǒng)計算機(jī)網(wǎng)絡(luò)經(jīng)典命令常用網(wǎng)絡(luò)命令——nbtstat

一、概述及語法

二、nbtstat的基本參數(shù)三、常見的名稱編號及其服務(wù)四、主要用處常用網(wǎng)絡(luò)命令——nbtstat一、概述及語法（一）概述顯示基于TCP/IP的NetBIOS(NetBT)協(xié)議統(tǒng)計資料、本地計算機(jī)和遠(yuǎn)程計算機(jī)的NetBIOS名稱表和NetBIOS名稱緩存。nbtstat可以刷新NetBIOS名稱緩存和使用WindowsInternet名稱服務(wù)(WINS)注冊的名稱。該命令使用TCP/IP上的NetBIOS顯示協(xié)議統(tǒng)計和當(dāng)前TCP/IP連接，使用這個命令你可以得到遠(yuǎn)程主機(jī)的NetBIOS信息，比如用戶名、所屬的工作組、網(wǎng)卡的MAC地址等（二）語法：nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]常用網(wǎng)絡(luò)命令——nbtstat二、nbtstat的基本參數(shù)-a列出為其主機(jī)名提供的遠(yuǎn)程計算機(jī)名字表。-A列出為其IP地址提供的遠(yuǎn)程計算機(jī)名字表。-c列出包括了IP地址的遠(yuǎn)程名字高速緩存器。-n列出本地NetBIOS名字。-r列出通過廣播和WINS解析的名字。-R消除和重新加載遠(yuǎn)程高速緩存器名字表。-S列出有目的地IP地址的會話表。-s列出會話表對話。常用網(wǎng)絡(luò)命令——nbtstat常用網(wǎng)絡(luò)命令——nbtstat編號服務(wù)三、常見的名稱編號及其服務(wù)1、00U2、01U3、20U4、30U5、31U6、BEU7、BFU8、1BU9、1DU10、00G11、1CG12、1EG13、\\_MSBROWSE_01G1、工作站服務(wù)/Internet信息服務(wù)器2、郵件服務(wù)3、文件服務(wù)器服務(wù)4、調(diào)制解調(diào)器共享服務(wù)器服務(wù)5、調(diào)制解調(diào)器共享客戶機(jī)服務(wù)6、網(wǎng)絡(luò)監(jiān)控代理7、網(wǎng)絡(luò)監(jiān)控應(yīng)用8、域主瀏覽器9、主瀏覽器10、域名11、Internet信息服務(wù)器12、瀏覽器服務(wù)選擇13、主瀏覽器常用網(wǎng)絡(luò)命令——nbtstat四、主要用處在一定程度上斷定有哪些服務(wù)正在目標(biāo)機(jī)上運(yùn)行，有時也能斷定已經(jīng)安裝了哪些軟件包。計算機(jī)網(wǎng)絡(luò)經(jīng)典命令常用網(wǎng)絡(luò)命令——netstat

一、概述及語法

二、netstat的基本參數(shù)三、常見的狀態(tài)列表

常用網(wǎng)絡(luò)命令——netstat（一）、概述Netstat是DOS命令,是一個監(jiān)控TCP/IP網(wǎng)絡(luò)的非常有用的工具，它可以顯示路由表、實(shí)際的網(wǎng)絡(luò)連接以及每一個網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息.Netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)，一般用于檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連接情況。（二）、語法：netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v]一、概述及語法常用網(wǎng)絡(luò)命令——netstat二、netstat的基本參數(shù)-a顯示所有連接和監(jiān)聽端口。-b顯示包含于創(chuàng)建每個連接或監(jiān)聽端口的可執(zhí)行組件。-e顯示以太網(wǎng)統(tǒng)計信息。-n以數(shù)字形式顯示地址和端口號。-o顯示與每個連接相關(guān)的所屬進(jìn)程ID。-s顯示按協(xié)議統(tǒng)計信息。-r顯示路由表。等價于命令routeprint-v與-b選項(xiàng)一起使用時將顯示包含于為所有可執(zhí)行組件創(chuàng)建連接或監(jiān)聽端口的組件常用網(wǎng)絡(luò)命令——netstat常用網(wǎng)絡(luò)命令——netstat三、常見的狀態(tài)列表LISTEN：在監(jiān)聽狀態(tài)中。ESTABLISHED：已建立聯(lián)機(jī)的聯(lián)機(jī)情況。

TIME_WAIT：該聯(lián)機(jī)在目前已經(jīng)是等待的狀態(tài)。計算機(jī)網(wǎng)絡(luò)經(jīng)典命令常用網(wǎng)絡(luò)命令——tracert

一、概述及語法

二、tracert的基本參數(shù)三、解決的問題

常用網(wǎng)絡(luò)命令——tracert（一）、概述Tracert（跟蹤路由）是路由跟蹤實(shí)用程序，用于確定IP數(shù)據(jù)報訪問目標(biāo)所采取的路徑。Tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。（二）、語法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name一、概述及語法常用網(wǎng)絡(luò)命令——tracert二、tracert的基本參數(shù)-d指定不將IP地址解析到主機(jī)名稱。-hmaximum_hops指定搜索目標(biāo)的最大躍點(diǎn)數(shù)。-wtimeout每次應(yīng)答等待timeout指定的微秒數(shù)。target_name目標(biāo)計算機(jī)的名稱常用網(wǎng)絡(luò)命令——tracert三、解決的問題確定數(shù)據(jù)包在網(wǎng)絡(luò)上的停止位置每個躍點(diǎn)所需的時間跟蹤數(shù)據(jù)報使用的路由（路徑）計算機(jī)網(wǎng)絡(luò)經(jīng)典命令常用網(wǎng)絡(luò)命令——net

常用網(wǎng)絡(luò)命令——net一、netview作用：顯示域列表、計算機(jī)列表或指定計算機(jī)的共享資源列表。命令格式：netview[\computername|/domain[:domainname]]參數(shù)介紹：(1)鍵入不帶參數(shù)的netview顯示當(dāng)前域的計算機(jī)列表。(2)\computername指定要查看其共享資源的計算機(jī)。(3)/domain[:domainname]指定要查看其可用計算機(jī)的域。常用網(wǎng)絡(luò)命令——net常用網(wǎng)絡(luò)命令——net常用網(wǎng)絡(luò)命令——net二、netuse作用：連接計算機(jī)或斷開計算機(jī)與共享資源的連接，或顯示計算機(jī)的連接信息。

命令格式：netuse\\IP\IPC$"password"/user:"name"

參數(shù)介紹：鍵入不帶參數(shù)的netuse列出網(wǎng)絡(luò)連接。password訪問共享資源的密碼。user指定進(jìn)行連接的另外一個用戶。name指定登錄的用戶名。常用網(wǎng)絡(luò)命令——net常用網(wǎng)絡(luò)命令——net三、netuser作用：添加或更改用戶帳號或顯示用戶帳號信息。也可寫netusers。命令格式：netuser[username[password|*][options]][/domain]參數(shù)介紹：(1)鍵入不帶參數(shù)的netuser查看計算機(jī)上的用戶帳號列表。(2)username添加、刪除、更改或查看用戶帳號名。(3)password為用戶帳號分配或更改密碼。(4)*提示輸入密碼。(5)/domain在計算機(jī)主域的主域控制器中執(zhí)行操作。常用網(wǎng)絡(luò)命令——net常用網(wǎng)絡(luò)命令——net四、nettime作用：使計算機(jī)的時鐘與另一臺計算機(jī)或域的時間同步。命令格式：nettime[\computername|/domain[:name]][/set]