《網(wǎng)絡(luò)協(xié)議分析》實(shí)驗(yàn)指導(dǎo)書(shū)

./《網(wǎng)絡(luò)協(xié)議分析》實(shí)驗(yàn)指導(dǎo)書(shū)黃梅根編計(jì)算機(jī)專(zhuān)業(yè)實(shí)驗(yàn)中心20XX6月前言《網(wǎng)絡(luò)協(xié)議分析》課程是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工程專(zhuān)業(yè)的本科生而設(shè)置的一門(mén)課程,它具有很強(qiáng)的理論性和實(shí)踐性。本實(shí)驗(yàn)指導(dǎo)書(shū)是專(zhuān)門(mén)為《網(wǎng)絡(luò)協(xié)議分析》理論課程配套的、指導(dǎo)學(xué)生完成相關(guān)實(shí)驗(yàn)及操作而編寫(xiě)的。本實(shí)驗(yàn)指導(dǎo)書(shū)按照TCP/IP的層次結(jié)構(gòu)對(duì)網(wǎng)絡(luò)互連中的主要協(xié)議進(jìn)行分析,由下而上的設(shè)計(jì)了14個(gè)實(shí)驗(yàn),涉及協(xié)議分析軟件的使用、數(shù)據(jù)鏈路層協(xié)議分析、網(wǎng)絡(luò)層協(xié)議分析、傳輸層協(xié)議分析、應(yīng)用層協(xié)議分析等,共五個(gè)部分。希望學(xué)生們通過(guò)以上實(shí)驗(yàn)進(jìn)一步加深對(duì)網(wǎng)絡(luò)協(xié)議的理解和掌握協(xié)議分析的方法。根據(jù)不同的要求,可以在本指導(dǎo)書(shū)的圍選擇相應(yīng)的實(shí)驗(yàn)容,組合成滿(mǎn)足不同需求的實(shí)驗(yàn)指南。如16學(xué)時(shí)的實(shí)驗(yàn)可采用：以太網(wǎng)鏈路層幀格式分析實(shí)驗(yàn)、ICMP協(xié)議分析實(shí)驗(yàn)、IP協(xié)議分析實(shí)驗(yàn)、ARP協(xié)議分析實(shí)驗(yàn)、TCP協(xié)議分析實(shí)驗(yàn)、UDP協(xié)議分析實(shí)驗(yàn)、FTP協(xié)議分析實(shí)驗(yàn)、HTTP協(xié)議分析實(shí)驗(yàn)等8個(gè)實(shí)驗(yàn)組合；8學(xué)時(shí)的實(shí)驗(yàn)可采用：以太網(wǎng)鏈路層幀格式分析實(shí)驗(yàn)、IP協(xié)議分析實(shí)驗(yàn)、TCP協(xié)議分析實(shí)驗(yàn)、FTP協(xié)議分析實(shí)驗(yàn)等4個(gè)實(shí)驗(yàn)組合；其余的實(shí)驗(yàn)可以作為任選實(shí)驗(yàn)或者課下作業(yè)。特別說(shuō)明：1、本指導(dǎo)書(shū)中給出的實(shí)驗(yàn)網(wǎng)絡(luò)物理模型,不需要學(xué)生動(dòng)手搭建,所有網(wǎng)絡(luò)物理模型都基于現(xiàn)有的實(shí)驗(yàn)室運(yùn)行環(huán)境。2、本指導(dǎo)書(shū)中網(wǎng)絡(luò)物理模型中所用到的交換機(jī)和路由器均為銳捷設(shè)備,這里只是為舉例方便。如果改換為CISCO或者華為等的相應(yīng)設(shè)備,不影響本實(shí)驗(yàn)的步驟和結(jié)果。3、由于重郵計(jì)算機(jī)專(zhuān)業(yè)實(shí)驗(yàn)室的實(shí)驗(yàn)環(huán)境有限,本指導(dǎo)書(shū)中也有些實(shí)驗(yàn)暫時(shí)還不完全支持,如：VLAN802.1Q幀格式分析實(shí)驗(yàn)；有些實(shí)驗(yàn)中所需要的軟件名稱(chēng)和版本與實(shí)際環(huán)境中稍有差別,不需更改；若有需要重新安裝或者改用其它的軟件代替的,應(yīng)該根據(jù)當(dāng)堂實(shí)驗(yàn)課的指導(dǎo)老師的安排來(lái)進(jìn)行。4、實(shí)驗(yàn)中設(shè)備的ip地址以實(shí)際實(shí)驗(yàn)機(jī)器的ip地址為準(zhǔn),對(duì)應(yīng)指導(dǎo)書(shū)中網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)Ｐ椭械膇p地址。目錄1.網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)環(huán)境要求42.網(wǎng)絡(luò)協(xié)議分析器Ethereal52.1Ethereal主窗口簡(jiǎn)介52.2Ethereal菜單欄簡(jiǎn)介72.3Ethereal的工具欄72.4Ethereal的網(wǎng)絡(luò)數(shù)據(jù)抓包過(guò)程82.5由Ethereal協(xié)議窗口分析協(xié)議的格式113.數(shù)據(jù)鏈路層協(xié)議分析153.1以太網(wǎng)鏈路層幀格式分析實(shí)驗(yàn)153.2VLAN802.1Q幀格式分析實(shí)驗(yàn)184.網(wǎng)絡(luò)層協(xié)議分析244.1ICMP協(xié)議分析實(shí)驗(yàn)244.2IP協(xié)議分析實(shí)驗(yàn)304.3IP數(shù)據(jù)報(bào)分片實(shí)驗(yàn)334.4ARP協(xié)議分析實(shí)驗(yàn)355.傳輸層協(xié)議分析385.1TCP協(xié)議分析實(shí)驗(yàn)395.2UDP協(xié)議分析實(shí)驗(yàn)446.應(yīng)用層協(xié)議分析476.1DNS協(xié)議分析實(shí)驗(yàn)476.2FTP協(xié)議分析實(shí)驗(yàn)526.3HTTP協(xié)議分析實(shí)驗(yàn)606.4電子相關(guān)協(xié)議分析實(shí)驗(yàn)646.5TELNET協(xié)議分析實(shí)驗(yàn)721.網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)環(huán)境要求〔1本指導(dǎo)書(shū)按照TCP/IP的層次結(jié)構(gòu)對(duì)網(wǎng)絡(luò)互連中的主要協(xié)議進(jìn)行分析。本章實(shí)驗(yàn)的基本思路是使用協(xié)議分析工具從網(wǎng)絡(luò)中截獲數(shù)據(jù)報(bào),對(duì)截獲的數(shù)據(jù)報(bào)進(jìn)行分析。通過(guò)試驗(yàn),使學(xué)生了解計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)幕驹?進(jìn)一步理解計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的層次結(jié)構(gòu)、協(xié)議的結(jié)構(gòu)、主要功能和工作原理,以及協(xié)議之間是如何相互配合來(lái)完成數(shù)據(jù)通信功能的。Windows環(huán)境下常用的協(xié)議分析工具有：SniferPro、Natxray、Iris、Ethereal以及Windows2000自帶的網(wǎng)絡(luò)監(jiān)視器。本書(shū)選用Ethereal作為協(xié)議分析工具?！?網(wǎng)絡(luò)協(xié)議圖2.網(wǎng)絡(luò)協(xié)議分析器Ethereal網(wǎng)絡(luò)協(xié)議分析器網(wǎng)絡(luò)協(xié)議分析器Ethereal是目前最好的、開(kāi)放源碼的、獲得廣泛應(yīng)用的網(wǎng)絡(luò)協(xié)議分析器,支持Linux和windows平臺(tái)。在該系統(tǒng)中加入新的協(xié)議解析器十分簡(jiǎn)單,自從1998年發(fā)布最早的Ethereal0.2版本發(fā)布以來(lái),志愿者為Ethereal添加了大量新的協(xié)議解析器,如今Ethereal已經(jīng)支持五百多種協(xié)議解析。其原因是Ehereal具有一個(gè)良好的可擴(kuò)展性的設(shè)計(jì)結(jié)構(gòu),這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。本節(jié)以Ethereal版本為依據(jù)。Ethereal的安裝比較簡(jiǎn)單,按下述網(wǎng)址下載,下載完Ethereal即可完成安裝。軟件及工具〔登陸時(shí),無(wú)密碼。新版本Ethereal已經(jīng)整合了winpcap,應(yīng)用比較方便。2.1Ethereal主窗口簡(jiǎn)介圖1是抓包完成后的Ethereal的主窗口。過(guò)濾欄以上是Ethereal本身的菜單,過(guò)濾欄以下是抓獲的包經(jīng)過(guò)分析后的顯示信息。圖1抓包完成后的Ethereal主窗口其中：1．菜單欄通常用來(lái)啟動(dòng)Ethereal有關(guān)操作；2．工具欄提供菜單中常用項(xiàng)目的快速訪問(wèn)；3．過(guò)濾器欄提供一個(gè)路徑,來(lái)直接控制當(dāng)前所用的顯示過(guò)濾器；4．包列表窗格顯示當(dāng)前抓包文件的全部包的摘要。包列表的每一行對(duì)應(yīng)抓包文件中的一個(gè)包,不同報(bào)文有不同的顏色,但是沒(méi)有明顯的規(guī)律。如果你選擇了一行,則更詳細(xì)的信息顯示在協(xié)議窗格和包字節(jié)數(shù)據(jù)窗格中。注意：在此窗格里單擊某個(gè)包,就會(huì)在另外的第二個(gè)窗口里顯示這個(gè)包的信息。當(dāng)Ethereal解析一個(gè)包時(shí),由協(xié)議解析器將信息放置到行列中去,比較高級(jí)協(xié)議會(huì)改寫(xiě)較低級(jí)協(xié)議的信息,你只能看到最高級(jí)協(xié)議的信息。例如,IP部包含有TCP的Ethernet包,Ethernet解析器將寫(xiě)出它的數(shù)據(jù)〔如Ethernet地址,而IP解析器將用自己的數(shù)據(jù)改寫(xiě)它〔如IP地址,等等。在包列表窗格中的每一列代表抓獲的一個(gè)包,每個(gè)包的摘要信息包括：*No：抓包文件中包的編號(hào)。,即使已經(jīng)用了一個(gè)顯示過(guò)濾器也不會(huì)改變。*Time：包的時(shí)間戳,即抓獲該包的時(shí)間,該時(shí)間戳的實(shí)際格式可以改變。*Source：包的源地址。*Destination：包的目標(biāo)地址。*Protocol：包協(xié)議的縮寫(xiě)。*Info：包容的附加信息,這是一種可用的上下文菜單〔鼠標(biāo)右鍵。5．包協(xié)議窗格〔包細(xì)節(jié)窗格包協(xié)議窗格以更詳細(xì)的格式顯示從包列表窗格選中的協(xié)議和協(xié)議字段。包的協(xié)議和字段用樹(shù)型格式顯示,可以擴(kuò)展和收縮。這是一種可用的上下文菜單,單擊每行前的"＋"就可以展開(kāi)為以"－"開(kāi)頭的若干行,單擊"－"又可以收縮。在每個(gè)協(xié)議行中,會(huì)顯示一些指定的協(xié)議字段：〔1生成的字段：Ethereal自己會(huì)生成附加的協(xié)議字段〔括號(hào)括起來(lái)者。這些字段的信息是從抓包文件中已知的與其它字段的上下文推導(dǎo)出來(lái)的。例如,Ethereal分析每個(gè)TCP流的順序號(hào)/確認(rèn)號(hào)時(shí),就會(huì)在TCP協(xié)議的[SEQ/ACK分析]中顯示出來(lái)?！?：如果Ethereal檢測(cè)到抓包文件中存在著與其它包的關(guān)系,就會(huì)產(chǎn)生一個(gè)到其它包的。用藍(lán)色顯示,雙擊它,Ethereal就跳到相應(yīng)的包。6．包字節(jié)窗格〔十六進(jìn)制數(shù)據(jù)窗格包字節(jié)窗格以十六進(jìn)制形式顯示出從包列表窗格中選定的當(dāng)前包的數(shù)據(jù),并以高亮度顯示在包協(xié)議窗格中選擇的字段。在常用的十六進(jìn)制區(qū),左邊示出包數(shù)據(jù)的編號(hào),中部為相應(yīng)的十六進(jìn)制示出包數(shù)據(jù),右邊為對(duì)應(yīng)的ASCII字符。7．狀態(tài)欄顯示當(dāng)前程序狀態(tài)和抓獲的數(shù)據(jù)的信息。通常左邊顯示相關(guān)信息的狀態(tài),右邊顯示包的當(dāng)前數(shù)目。<a><b>圖2狀態(tài)欄示例示例<a>圖示出沒(méi)有裝載抓包文件,即Ethereal開(kāi)始時(shí)的情況。<b>圖為已經(jīng)裝載抓包文件時(shí)的狀態(tài)欄。左邊顯示關(guān)于抓包文件的名字、大小、開(kāi)始抓包經(jīng)過(guò)的時(shí)間等信息。右邊顯示抓包文件中包的當(dāng)前數(shù)目。顯示的數(shù)值如下：*P:抓獲包的數(shù)目；*D:當(dāng)前正顯示的包的數(shù)目；*M:已經(jīng)標(biāo)記的數(shù)目。2.2Ethereal菜單欄簡(jiǎn)介1．File文件菜單文件菜單包括打開(kāi)和合并抓包文件,全部或部分存儲(chǔ)、打印、輸出抓包文件,退出Ethereal。2．Edit編輯菜單編輯菜單包括查詢(xún)包,時(shí)間查詢(xún),標(biāo)記或標(biāo)識(shí)一個(gè)或多個(gè)包,設(shè)置你的選項(xiàng)〔剪切,拷貝,粘貼當(dāng)前不能實(shí)現(xiàn)3．View視圖菜單視圖菜單控制抓抓獲的包數(shù)據(jù)的顯示,包括對(duì)抓獲包的著色,字型的縮放,協(xié)議窗格中協(xié)議樹(shù)的壓縮和展開(kāi)。4．Go指向菜單以不同方式指向特定的包。5．Capture抓包菜單開(kāi)始和停止抓包過(guò)程以及編輯抓包過(guò)濾器。6．Analyze分析菜單包括的選項(xiàng)由操作顯示過(guò)濾器,允許和不允許對(duì)協(xié)議解析,配置用戶(hù)指定的譯碼器和跟蹤一個(gè)TCP流。7．Statistics統(tǒng)計(jì)菜單顯示各種統(tǒng)計(jì)窗口的菜單項(xiàng),包括已經(jīng)抓到的包的摘要,顯示協(xié)議的分層統(tǒng)計(jì)等等。8．Help幫助菜單包括幫助用戶(hù)的選項(xiàng),諸如一些基本幫助,所支持的協(xié)議列表,手工頁(yè)面,在線訪問(wèn)一些web頁(yè)面,以及常用的對(duì)話框。2.3Ethereal的工具欄Ethereal工具欄提供主菜單中常用的選項(xiàng)的快速訪問(wèn)。工具欄不能由用戶(hù)定制,但是如果屏幕空間需要顯示更多的包數(shù)據(jù),就可以用視圖菜單將它隱蔽。作為菜單,只有當(dāng)前程序被選用時(shí)該選項(xiàng)才是可用的,其它選項(xiàng)變成灰色〔如果尚未裝載數(shù)據(jù)就不能存入抓包文件。圖3為各種工具圖標(biāo)的名稱(chēng)。接口選項(xiàng)開(kāi)始停止重開(kāi)始打開(kāi)存儲(chǔ)為關(guān)閉重載打印查詢(xún)包向后向前指定包到首包到末包包著色卷屏放大取消放大圖3各種工具圖標(biāo)的名稱(chēng)*接口：?jiǎn)螕舸藞D標(biāo),出現(xiàn)一個(gè)抓包選項(xiàng)表對(duì)話框；*選項(xiàng)：引出一個(gè)抓包選項(xiàng)對(duì)話框；*開(kāi)始：根據(jù)選項(xiàng)在最近時(shí)間開(kāi)始抓包；*停止：停止當(dāng)前運(yùn)行的抓包過(guò)程；*重開(kāi)始：為了方便起見(jiàn),停止當(dāng)前運(yùn)行的抓包過(guò)程,重新開(kāi)始；*打開(kāi)：出現(xiàn)打開(kāi)文件對(duì)話框,讓你打開(kāi)一個(gè)抓包文件來(lái)觀察；*存儲(chǔ)為：讓你將當(dāng)前的抓包文件存儲(chǔ)為你希望的文件。彈出"SaveCaptureFileAs"對(duì)話框；*關(guān)閉：關(guān)閉當(dāng)前的抓包文件,如果沒(méi)有存儲(chǔ)該包被會(huì)詢(xún)問(wèn)是否存儲(chǔ)；*重載：允許重裝當(dāng)前的抓包文件；*打印：引出打印對(duì)話框,允許全部或部分打印包文件中的包；*查詢(xún)包：引出查詢(xún)一個(gè)包的對(duì)話框；*向后：在包歷史中向回跳；*向前：在包歷史中向前跳；*指定包：引出對(duì)話框,跳到指定編號(hào)的包；*到首包：跳到包文件中第一個(gè)包；*到末包：跳到包文件中最后一個(gè)包；*著色：對(duì)包列表中抓獲的色,用不同顏色顯示；*放大：放大打開(kāi)的包數(shù)據(jù)〔增大字型；*取消放大：取消包數(shù)據(jù)放大。2.4Ethereal的網(wǎng)絡(luò)數(shù)據(jù)抓包過(guò)程Ethereal的抓包有如下特征：*可以從不同類(lèi)別的網(wǎng)絡(luò)硬件抓包,如Ethernet、TokenRing、ATM等；*停止抓包時(shí)不同的觸發(fā)器相似：如抓獲數(shù)據(jù)的總數(shù)、抓包時(shí)間,抓獲包的數(shù)目；*抓包過(guò)程中同時(shí)顯示編譯后〔解析的包。*根據(jù)包過(guò)濾器的條件,從抓獲的全部數(shù)據(jù)中進(jìn)行過(guò)濾,減去符合條件的包。使用Ethereal進(jìn)行網(wǎng)絡(luò)協(xié)議分析時(shí)應(yīng)當(dāng)注意：必須有管理員權(quán)限才能開(kāi)始抓包過(guò)程；必須選擇正確的網(wǎng)絡(luò)接口來(lái)抓獲包數(shù)據(jù)；必須在網(wǎng)絡(luò)的正確的位置抓包才能看到想看到的業(yè)務(wù)流量。1．通過(guò)抓包接口開(kāi)始抓包．通過(guò)抓包接口開(kāi)始抓包可以通過(guò)工具欄的接口選項(xiàng),或者"Capture"菜單的"Interfaces"選項(xiàng)選擇抓包菜單后,Etherea彈出抓包接口對(duì)話框,如圖4所示。但需注意,作為抓包接口對(duì)話框,只在數(shù)據(jù)抓包前顯示,會(huì)消耗很多系統(tǒng)資源,要盡快關(guān)閉對(duì)話框以防止過(guò)多的系統(tǒng)裝載。圖4抓包接口對(duì)話框圖中Gnericdialupadapter為撥號(hào)適配器,第二行為快速以太網(wǎng)網(wǎng)卡。工具欄框中的各個(gè)選項(xiàng)敘述于下：*IP：Ethereal可能從這個(gè)接口分辨第一個(gè)IP地址,如果分辨不出地址,就會(huì)顯示"unknown",如果解析出不止一個(gè)IP地址,則只顯示第一個(gè)；*Packets：從對(duì)話框打開(kāi)后從該接口偵測(cè)到的包數(shù)。如果最近一秒沒(méi)有偵測(cè)到包,則Packets變?yōu)榛疑?Packets/s：在最近一秒偵測(cè)到的包數(shù),如果沒(méi)有偵測(cè)到包,則在最近一秒變?yōu)榛疑?Stop：停止當(dāng)前抓包運(yùn)行；*Capture：利用最后抓包設(shè)置立即在該接口開(kāi)始抓包；*Prepare：打開(kāi)該接口的抓包選項(xiàng)對(duì)話框；*Close：關(guān)閉對(duì)話框。如果選擇Capture,則立即開(kāi)始抓包,并顯示圖5的抓包過(guò)程數(shù)據(jù)報(bào)文統(tǒng)計(jì)：圖5抓包過(guò)程數(shù)據(jù)報(bào)文統(tǒng)計(jì)抓到足夠的包后,單擊Stop停止抓包。即可顯示如圖1的抓包完成后的Ethereal主窗口。2．通過(guò)．通過(guò)capture菜單選項(xiàng)抓包Ethereal的抓包〔capture選項(xiàng),如圖6所示。圖6Capture選項(xiàng)〔1單擊Capture選抓包過(guò)濾器CaptureFilters...,彈出過(guò)濾器窗口,如圖7所示。圖7Capture過(guò)濾器選項(xiàng)〔2在Filter欄中選擇某項(xiàng)過(guò)濾器名稱(chēng),如"NoBroadcastandnoMulticast"或"TCPonly",則在Filtername和Filterstring文本框中顯示你的選項(xiàng)。也可以在Filtername框中鍵入過(guò)濾器名字,在Filterstring框中鍵入過(guò)濾器字符串,單擊New,一個(gè)過(guò)濾器就建立好了。單擊Capture選0ptions,彈出圖8所示過(guò)濾器選項(xiàng)窗口,指明網(wǎng)絡(luò)適配器,抓包模式,包字節(jié)限制,過(guò)濾條件等有關(guān)抓包的系統(tǒng)配置的啟用和設(shè)置。圖8過(guò)濾器選項(xiàng)窗口〔3Ehereal的抓包過(guò)濾器抓包過(guò)濾器用來(lái)只抓取你感興趣的包。如果你想抓取某些特定的數(shù)據(jù)包時(shí),有兩種方法可供選擇。第一種方式是先定義好抓包過(guò)濾器,結(jié)果是只抓到你設(shè)定好的那些類(lèi)型的數(shù)據(jù)包；第二種方式是,先把本機(jī)收到或者發(fā)出的包全部抓下來(lái),再使用的顯示過(guò)濾器,只顯示你想要的那些類(lèi)型的數(shù)據(jù)包,這種方式比較常用,建議實(shí)驗(yàn)時(shí)大家采用?！?最后單擊Start,即可開(kāi)始抓包,并彈出本機(jī)收到的數(shù)據(jù)報(bào)文統(tǒng)計(jì)信息。此后的操作與通過(guò)接口抓包相同,單擊Stop即可停止抓包,并顯示對(duì)截獲到的報(bào)文進(jìn)行分析后的界面。2.5由Ethereal協(xié)議窗口分析協(xié)議的格式Ethereal抓包后的界面有三個(gè)部分,上部為報(bào)文列表窗口,顯示的是對(duì)抓到的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行分析后的總結(jié)型信息,包括編號(hào)、時(shí)間、源地址、目標(biāo)地址、協(xié)議、信息。中部為協(xié)議樹(shù)窗口,顯示的是數(shù)據(jù)報(bào)文的協(xié)議信息。在報(bào)文列表窗口選擇不同條目則協(xié)議樹(shù)窗口的容隨之改變?yōu)橄鄳?yīng)的協(xié)議信息。下部為16進(jìn)制報(bào)文窗口,可以顯示報(bào)文在物理層的數(shù)據(jù)形式。在抓包完成后,顯示過(guò)濾器可以用來(lái)找到你感興趣的包,也可根據(jù)協(xié)議、是否存在某個(gè)域、域值、域值之間的關(guān)系來(lái)查找你感興趣的包。1．．Etheral的顯示過(guò)濾器可以使用下面的操作符來(lái)構(gòu)造顯示過(guò)濾器：eq==等于：如ip.addr==.20ne!=不等于：如ip.addr!=.20gt>大于：如frame.pkt_len>10lt<小于：如lt<frame.pkt_len<10ge>=大等于：如frame.pkt_len>=10le<=小等于：如frame.pkt_len<=10也可以使用下面的邏輯操作符將表達(dá)式組合起來(lái)：and&&邏輯與：如ip.addr=.20&&tcp.flag.finor||邏輯或：如ip.addr=.20||ip.addr=1xor^^異或：如tr.dst[0:3]==xortr.src[0:3]==not!邏輯非：如!llc例如：你想抓取IP地址是0的主機(jī)所收或發(fā)的所有的HTTP報(bào)文,則顯示過(guò)濾器〔Filter為：ip.addr=0andhttp圖9組合過(guò)濾器設(shè)置注意：當(dāng)在Filter的輸入,顯示綠色背景時(shí)〔圖9上圖說(shuō)明表達(dá)式是正確的,顯示紅色背景時(shí)〔圖9下圖說(shuō)明表達(dá)式是錯(cuò)誤的。又例如,你只想查看使用tcp協(xié)議的包,在Ethereal窗口Filter欄中輸入tcp,然后回車(chē),Ethereal就會(huì)只顯示tcp協(xié)議的包。2．實(shí)例分析下面的分析示例是通過(guò)上網(wǎng)查詢(xún)"TCP/IP",然后運(yùn)行ethereal抓包。抓包過(guò)程為：?jiǎn)螕鬋apture－按默認(rèn)過(guò)濾器－Start－抓包2分鐘－Stop,獲得圖10的結(jié)果。圖10上網(wǎng)查詢(xún)抓包結(jié)果由于Ethereal已經(jīng)對(duì)抓包結(jié)果做了分析,所以,通過(guò)協(xié)議窗口可以獲得IP協(xié)議數(shù)據(jù)報(bào)格式和TCP協(xié)議報(bào)文格式的具體數(shù)據(jù)。在圖10中,各個(gè)窗口都可以用拖拉方法拉大或縮小,即可與十六進(jìn)制窗口相結(jié)合,清楚地看到各個(gè)字段的數(shù)據(jù)。其方法如下：〔1最初協(xié)議窗口顯示了協(xié)議信息,單擊第一條信息,則十六進(jìn)制窗口的中對(duì)應(yīng)的信息變?yōu)楹诘装鬃?如圖11所示：圖11單擊frame11494字節(jié)改變顏色〔2每條信息頭部有一個(gè)"＋"號(hào),單擊"＋"則變?yōu)?－",具體的協(xié)議信息即展開(kāi)并顯示在協(xié)議窗口,圖12所示為Internetprotocol協(xié)議展開(kāi)的圖示：圖12單擊IP協(xié)議的展開(kāi)圖由圖12可見(jiàn),IP協(xié)議源地址為6,目標(biāo)地址為89,版本為IPV4,報(bào)頭長(zhǎng)度為20字節(jié)。對(duì)應(yīng)的十六進(jìn)制數(shù)據(jù)為450005c8a570400034065c72dbef581a〔3TCP協(xié)議的展開(kāi)圖13TCP協(xié)議的展開(kāi)圖圖13為T(mén)CP協(xié)議的展開(kāi)圖,由圖可見(jiàn)源端口號(hào)為http〔80,對(duì)應(yīng)的十六進(jìn)制為0050,目標(biāo)端口號(hào)為4579,順序號(hào)為0,下一順序號(hào)為1440,確認(rèn)號(hào)為0,報(bào)頭長(zhǎng)20字節(jié),其后還可以看到保留位和6個(gè)控制位的設(shè)置情況等等。TCP/IP協(xié)議的報(bào)文格式此處沒(méi)有列出,請(qǐng)讀者自己對(duì)照,即可得知Ethereal已經(jīng)對(duì)抓包結(jié)果做了準(zhǔn)確的分析。3.數(shù)據(jù)鏈路層協(xié)議分析TCP/IP協(xié)議棧分為四層,從下往上依次為網(wǎng)絡(luò)接口層、網(wǎng)際層、傳輸層和應(yīng)用層,而網(wǎng)絡(luò)接口層沒(méi)有專(zhuān)門(mén)的協(xié)議,而是使用連接在Internet網(wǎng)上的各通信子網(wǎng)本身所固有的協(xié)議。如以太網(wǎng)〔Ethernet的802.3協(xié)議、令牌環(huán)網(wǎng)〔TokenRing的802.5協(xié)議、分組交換網(wǎng)的X.25協(xié)議等。目前Ethernet網(wǎng)得到了廣泛的應(yīng)用,它幾乎成為局域網(wǎng)代名詞。因此,這一部分將對(duì)以太網(wǎng)鏈路層的幀格式和802.1Q幀格式進(jìn)行分析驗(yàn)證,使學(xué)生初步了解TCP/IP鏈路層的主要協(xié)議以及這些協(xié)議的主要用途和幀結(jié)構(gòu)。3.1以太網(wǎng)鏈路層幀格式分析實(shí)驗(yàn)1．以太網(wǎng)簡(jiǎn)介IEEE802參考模型把數(shù)據(jù)鏈路層分為邏輯鏈路控制子層〔LLC,LogicalLinkControl和介質(zhì)訪問(wèn)控制子層〔MAC,MediaAccessControl。與各種傳輸介質(zhì)有關(guān)的控制問(wèn)題都放在MAC層中,而與傳輸介質(zhì)無(wú)關(guān)的問(wèn)題都放在LLC層。因此,局域網(wǎng)對(duì)LLC子層是透明的,只有具體到MAC子層才能發(fā)現(xiàn)所連接的是什么標(biāo)準(zhǔn)的局域網(wǎng)。IEEE802.3是一種基帶總線局域網(wǎng),最初是由美國(guó)施樂(lè)〔Xerox于1975年研制成功的,并以曾經(jīng)在歷史上表示傳播電磁波的以太〔Ether來(lái)命名。1981年,施樂(lè)公司、數(shù)字設(shè)備公司〔Digital和英特爾〔Intel聯(lián)合提出了以太網(wǎng)的規(guī)約。1982年修改為第二版,即DIXEthernetV2,成為世界上第一個(gè)局域網(wǎng)產(chǎn)品的規(guī)。這個(gè)標(biāo)準(zhǔn)后來(lái)成為IEEE802.3標(biāo)準(zhǔn)的基礎(chǔ)。在802.3中使用1堅(jiān)持的CSMA/CD〔CarrierSenseMultipleAccesswithCollisionDetection協(xié)議?，F(xiàn)在流行的以太網(wǎng)的MAC子層的幀結(jié)構(gòu)有兩種標(biāo)準(zhǔn),一種是802.3標(biāo)準(zhǔn),另一種是DIXEthernetV2標(biāo)準(zhǔn)。圖14802.3和EthernetV2MAC幀結(jié)構(gòu)圖14畫(huà)出了兩種標(biāo)準(zhǔn)的MAC幀結(jié)構(gòu)。它們都是由五個(gè)字段組成。MAC幀的前兩個(gè)字段分別是目的地址字段和源地址字段,長(zhǎng)度是2或6字節(jié)。但在IEEE802.3標(biāo)準(zhǔn)規(guī)定對(duì)10Mb/s的基帶以太網(wǎng)則使用6字節(jié)的地址字段。兩種標(biāo)準(zhǔn)的主要區(qū)別在于第三個(gè)字段〔2字節(jié)。在802.3標(biāo)準(zhǔn)中,這個(gè)字段是長(zhǎng)度字段,它指后面的數(shù)據(jù)字段的字節(jié)數(shù),數(shù)據(jù)字段就是LLC子層交下來(lái)的LLC幀,其最小長(zhǎng)度46字節(jié),最大長(zhǎng)度1500字節(jié)。在EthernetV2標(biāo)準(zhǔn)中,這個(gè)字段是類(lèi)型字段,它指出LLC層使用的協(xié)議類(lèi)型。由于數(shù)據(jù)字段的最大長(zhǎng)度為1500字節(jié),因此,以太網(wǎng)V2標(biāo)準(zhǔn)中將各種協(xié)議的代碼規(guī)定為大于1500的數(shù)值,這樣就不至于發(fā)生誤解,并借此實(shí)現(xiàn)兼容。最后一個(gè)字段是一個(gè)長(zhǎng)度為4字節(jié)的幀校驗(yàn)序列FCS,它對(duì)前四個(gè)字段進(jìn)行循環(huán)冗余〔CRC校驗(yàn)。為了使發(fā)送方和接收方同步,MAC幀在總線上傳輸時(shí)還需要增加7個(gè)字節(jié)的前同步碼字段和1字節(jié)的起始定界符〔它們是由硬件生成的,其中前同步碼是1和0的交替序列,供接收方進(jìn)行比特同步之用；緊跟在前同步碼之后的起始定界符為10101011,接收方一旦接收到兩個(gè)連續(xù)的1后,就知道后面的信息就是MAC幀了。需要注意的是前同步碼、起始定界符和MAC幀中的FCS字段在網(wǎng)卡接收MAC幀時(shí)已經(jīng)被取消,因此,在截獲的數(shù)據(jù)報(bào)中看不到這些字段。注意：由于802.3標(biāo)準(zhǔn)在MAC幀中封裝802.2幀,相比EthernetV2增加了8個(gè)字節(jié)的開(kāi)銷(xiāo),而且實(shí)踐表明,這樣做過(guò)于繁瑣,使得其在實(shí)際中很少得到使用。因此,本節(jié)實(shí)驗(yàn)中重點(diǎn)分析EthernetV2MAC幀格式,802.3MAC幀不作具體討論。2．實(shí)驗(yàn)環(huán)境與說(shuō)明〔1實(shí)驗(yàn)?zāi)康牧私釫thernetV2標(biāo)準(zhǔn)規(guī)定的MAC幀結(jié)構(gòu),初步了解TCP/IP的主要協(xié)議和協(xié)議的層次結(jié)構(gòu)?！?實(shí)驗(yàn)設(shè)備和連接實(shí)驗(yàn)設(shè)備和連接圖如圖15所示,一臺(tái)銳捷S2126G交換機(jī)連接了2臺(tái)PC機(jī),分別命名為PC1、PC2,交換機(jī)命名為Switch。圖15Ethernet鏈路層幀結(jié)構(gòu)實(shí)驗(yàn)連接圖〔3實(shí)驗(yàn)分組每四名同學(xué)為一組,其中每?jī)扇艘恍〗M,每小組各自獨(dú)立完成實(shí)驗(yàn)。3．實(shí)驗(yàn)步驟步驟1：按照如圖15所示連接好設(shè)備,配置PC1和PC2的IP地址；〔編者注：實(shí)驗(yàn)室中任何一臺(tái)PC都可以作為模型中的PC1或PC2。步驟2：在：PC1和PC2上運(yùn)行Ethereal截獲報(bào)文,為了只截獲和實(shí)驗(yàn)容有關(guān)的報(bào)文,將Ethereal的CaptrueFilter設(shè)置為"NoBroadcastandnoMulticast"；步驟3：在：PC1的"運(yùn)行"對(duì)話框中輸入命令"Ping02”步驟4：停止截獲報(bào)文：將結(jié)果保存為MAC-學(xué)號(hào),并對(duì)截獲的報(bào)文進(jìn)行分析：1列出截獲的報(bào)文中的協(xié)議類(lèi)型,觀察這些協(xié)議之間的關(guān)系。________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________2在網(wǎng)絡(luò)課程學(xué)習(xí)中,EthernetV2規(guī)定以太網(wǎng)的MAC層的報(bào)文格式分為7字節(jié)的前導(dǎo)符、1字節(jié)的幀首定界、6字節(jié)的目的MAC地址、6字節(jié)的源MAC地址、2字節(jié)的類(lèi)型、46～1500字節(jié)的數(shù)據(jù)字段和4字節(jié)的幀尾校驗(yàn)字段。分析一個(gè)EthernetV2幀,查看這個(gè)幀由幾部分組成,缺少了哪幾部分？為什么？________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________步驟5：在：PC1和PC2上運(yùn)行Ethereal截獲報(bào)文,然后進(jìn)入PC1的Windows命令行窗口,執(zhí)行如下命令：netsend02Hello這是PC1向PC2發(fā)送消息的命令,等到PC2顯示器上顯示收到消息后,終止截獲報(bào)文。注意PC1和PC2的信使服務(wù)應(yīng)啟動(dòng)。找到發(fā)送消息的報(bào)文并進(jìn)行分析,查看主窗口中數(shù)據(jù)報(bào)文列表窗口和協(xié)議樹(shù)窗口信息,填寫(xiě)下表：表1報(bào)文分析此報(bào)文類(lèi)型此報(bào)文的基本信息〔數(shù)據(jù)報(bào)文列表窗口中的Information項(xiàng)的容EthernetII協(xié)議樹(shù)中Source字段值Destination字段值InternetProtocol協(xié)議樹(shù)中Source字段值Destination字段值UserDatagramProtocol協(xié)議樹(shù)中Source字段值Destination字段值應(yīng)用層協(xié)議樹(shù)協(xié)議名稱(chēng)包含Hello的字段值3.2VLAN802.1Q幀格式分析實(shí)驗(yàn)1．IEEE802.1Q介紹我們知道VLAN具有控制網(wǎng)絡(luò)廣播、提高網(wǎng)絡(luò)性能；分隔網(wǎng)段、確保網(wǎng)絡(luò)安全；簡(jiǎn)化網(wǎng)絡(luò)管理、提高組網(wǎng)靈活性的功能。VLAN劃分的方法有很多種,其中基于端口的靜態(tài)VLAN是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法。基于端口的VLAN〔PortVLAN將交換機(jī)按照端口的VLANID指定實(shí)現(xiàn)了邏輯劃分,廣播域被限定在相同VLAN的端口集合中,不同VLAN間不能直接通信。當(dāng)使用多臺(tái)交換機(jī)分別配置VLAN后,可以使用Trunk〔干道方式實(shí)現(xiàn)跨交換機(jī)的VLAN部連通,交換機(jī)的Trunk端口不隸屬于某個(gè)VLAN,而是可以承載所有VLAN的幀。這種實(shí)現(xiàn)跨交換機(jī)的VLAN技術(shù)在早期使用幀過(guò)濾,而目前的國(guó)際標(biāo)準(zhǔn)規(guī)定采用幀標(biāo)記?？缃粨Q機(jī)的VLAN實(shí)現(xiàn)使得網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)可以完全不受實(shí)際物理連接的限制,極提高了組網(wǎng)的靈活性。1996年3月,IEEE802.1InternetWorking委員會(huì)結(jié)束了對(duì)VLAN初期標(biāo)準(zhǔn)的修訂工作,統(tǒng)一了Frame-Tagging〔幀標(biāo)記方式中不同廠商的標(biāo)簽格式,制定IEEE802.1QVLAN標(biāo)準(zhǔn),進(jìn)一步完善了VLAN的體系結(jié)構(gòu)。如圖16所示,IEEE802.1Q使用4Byte的標(biāo)記頭來(lái)定義Tag〔標(biāo)記。Tag頭中包括2Byte的VPID〔VLANProtocolIdentifier和2Byte的VCI〔VLANControlInformation。圖16802.1Q幀格式其中：*VPID為0X8100,標(biāo)識(shí)該數(shù)據(jù)幀承載IEEE802.1Q的Tag信息；*VCI包含組件：*3bits用戶(hù)優(yōu)先級(jí)；*1bitsCFT〔CanonicalFormatIndicator,默認(rèn)值為0〔表示以太網(wǎng)；*12bits的VID〔VLANIdentifier,VLAN標(biāo)識(shí)符；注意：交換機(jī)可以配置的VLAN數(shù)量因設(shè)備而異,實(shí)驗(yàn)室的S2126/S3550/S3760最多支持250個(gè)VLAN〔VLANID：1～4094,其中VLAN1是不可刪除的默認(rèn)VLAN〔設(shè)備管理。圖16比較了以太網(wǎng)幀格式和802.1Q幀格式,注意802.1Q幀中的FCS為加入802.1Q幀標(biāo)記后重新利用CRC校驗(yàn)后的檢測(cè)序列。IEEE802.1Q協(xié)議使跨交換機(jī)的相同VLAN端口間通信成為可能?；?02.1QTagVLAN用VID來(lái)劃分不同VLAN,當(dāng)數(shù)據(jù)幀通過(guò)交換機(jī)的時(shí)候,交換機(jī)根據(jù)幀中Tag頭的VID信息來(lái)識(shí)別它們所在的VLAN〔若幀中無(wú)Tag頭,則應(yīng)用幀所通過(guò)端口的默認(rèn)VID來(lái)識(shí)別它們所在的VLAN。這使得所有屬于該VLAN的數(shù)據(jù)幀,不管是單播幀、組播幀還是廣播幀,都將被限制在該邏輯VLAN中傳輸。圖17TagVLAN通信如圖17所示,兩臺(tái)S2126交換機(jī)分別劃分出VLAN1和VLAN2,分別設(shè)置級(jí)聯(lián)口為T(mén)runk模式。PC1和PC3屬于VLAN1,PC2和PC4屬于VLAN2。PC2和PC4通信必須跨兩臺(tái)交換機(jī)。當(dāng)PC2發(fā)出數(shù)據(jù)時(shí),在沒(méi)有進(jìn)入交換機(jī)端口之間,數(shù)據(jù)幀頭部并沒(méi)有被加入Tag標(biāo)識(shí),是標(biāo)準(zhǔn)的以太幀格式；當(dāng)數(shù)據(jù)幀進(jìn)入交換機(jī)端口后,數(shù)據(jù)頭部首先被加入該端口所屬的VID,這時(shí)交換機(jī)就按照目的地址轉(zhuǎn)發(fā),在VID=2的廣播域中傳送該幀。但第一臺(tái)交換機(jī)并沒(méi)有直接連接PC4,因此數(shù)據(jù)只能發(fā)往通向潛在PC4連接的級(jí)聯(lián)端口,該口是Taged口,當(dāng)數(shù)據(jù)從Taged端口轉(zhuǎn)發(fā)時(shí),即加入Tag標(biāo)識(shí)〔VID＝2,使用802.1Q的封裝格式；第二臺(tái)交換機(jī)在由級(jí)聯(lián)口接收時(shí)可以根據(jù)Tag標(biāo)識(shí)而將該幀在VLAN2上廣播出去,根據(jù)MAC地址連接PC4的端口就會(huì)收到該數(shù)據(jù)幀；該端口將去掉Tag標(biāo)識(shí)后,轉(zhuǎn)發(fā)數(shù)據(jù)幀至PC4。由此就實(shí)現(xiàn)了跨交換機(jī)的VLAN通信,同理,PC1和PC3之間也可以實(shí)現(xiàn)數(shù)據(jù)通信。2．鏡像在圖17中,IEEE802.1Q幀在交換機(jī)的Taged端口之間,PC機(jī)使用以太幀,在PC機(jī)上運(yùn)行的Ethereal是無(wú)法捕獲IEEE802.1Q數(shù)據(jù)幀的。為了抓到和分析IEEE802.1Q數(shù)據(jù)幀,我們?cè)趯?shí)驗(yàn)中可以通過(guò)鏡像的手段來(lái)捕獲IEEE802.1Q數(shù)據(jù)幀。在網(wǎng)絡(luò)維護(hù)和故障排除的過(guò)程中,我們首先會(huì)根據(jù)已有的網(wǎng)絡(luò)現(xiàn)象進(jìn)行故障分析和判斷,但如果掌握的信息不足,或者是網(wǎng)絡(luò)需要進(jìn)一步監(jiān)控時(shí),鏡像就成為一種重要的數(shù)據(jù)監(jiān)控方法。鏡像分為兩種：一種是端口鏡像,另一種是流鏡像。端口鏡像是指將某些指定端口〔出或入方向的數(shù)據(jù)流量映射到監(jiān)控端口,以便集中使用數(shù)據(jù)捕獲軟件進(jìn)行數(shù)據(jù)分析。流鏡像則是指按照一定的數(shù)據(jù)流分類(lèi)規(guī)則對(duì)數(shù)據(jù)進(jìn)行鏡像,然后將屬于指定流的所有數(shù)據(jù)映射到監(jiān)控端口,以便進(jìn)行數(shù)據(jù)分析。在銳捷S2126/S3550交換機(jī)上配置鏡像的命令為：monitorsession。monitorsession用于創(chuàng)建一個(gè)SPAN會(huì)話并指定目的端口〔監(jiān)控口和源端口〔被監(jiān)控口。使用該命令的no選項(xiàng)刪除會(huì)話或者單獨(dú)刪除源端口或目的端口。其格式如下：monitorsessionsession_number{sourceinterfaceinterface-id[,|-][both|rx|tx]|destinationinterfaceinterface-id}nomonitorsessionsession_number[sourceinterfaceinterface-id[,|-][both|rx|tx]|destinationinterfaceinterface-id]有關(guān)格式要求參見(jiàn)表2所示。表2monitorsession的語(yǔ)法描述下面這個(gè)例子說(shuō)明了如何創(chuàng)建一個(gè)SPAN會(huì)話：會(huì)話1。如果原先已經(jīng)設(shè)置過(guò)該會(huì)話,請(qǐng)首先將當(dāng)前會(huì)話1的配置清除掉,然后設(shè)置端口1的幀映射到端口8。Switch<config>#nomonitorsession1Switch<config>#monitorsession1sourceinterfacefastEthernet1/1bothSwitch<config>#monitorsession1destinationinterfacefastEthernet1/83．實(shí)驗(yàn)環(huán)境與說(shuō)明〔1實(shí)驗(yàn)?zāi)康牧私釯EEE802.1Q標(biāo)準(zhǔn)規(guī)定的幀結(jié)構(gòu),了解VLAN幀標(biāo)記的方法?！?實(shí)驗(yàn)設(shè)備和連接實(shí)驗(yàn)設(shè)備和連接圖如圖18所示,一臺(tái)銳捷S2126G交換機(jī)連接一臺(tái)S3550,S2126同時(shí)連接了2臺(tái)PC機(jī),分別命名為PC1、PC2。圖18802.1Q幀格式分析實(shí)驗(yàn)連接圖〔3實(shí)驗(yàn)分組每四名同學(xué)為一組,其中每?jī)扇艘恍〗M,每小組各自獨(dú)立完成實(shí)驗(yàn)。4．實(shí)驗(yàn)步驟步驟1：按照如圖18所示連接好設(shè)備；步驟2：完成交換機(jī)S3550和S2126的相關(guān)配置,要求如下：*在S2126和S3550上創(chuàng)建VLAN10和VLAN20；*將S2126的F0/1指定為VLAN10,F0/2指定為VLAN20；*通過(guò)三層交換機(jī)S3550實(shí)現(xiàn)PC1和PC2的連通；*通過(guò)端口鏡像,使得PC3可以監(jiān)控S2126的F0/4。關(guān)于交換機(jī)VLAN和SVI的配置由于在第三章實(shí)驗(yàn)中已經(jīng)做過(guò),這里不再重復(fù)。為保證實(shí)驗(yàn)的順利,同學(xué)可以參考下面的配置：①S2126的配置的配置：：Switch<config>#hostnameS2126！配置設(shè)備名為S2126S2126<config>#vlan10！啟用Vlan10S2126<config-vlan>#nameTest10S2126<config-vlan>#exitS2126<config>#vlan20!啟用Vlan20S2126<config-vlan>#nameTest20S2126<config-vlan>#exitS2126<config>#interfacefastEthernet0/1S2126<config-if>#switchportaccessvlan10！指定F0/1端口為Vlan10S2126<config-if>#interfacefastEthernet0/2S2126<config-if>#switchportaccessvlan20！指定F0/2端口為Vlan10S2126<config-if>#interfacefastEthernet0/4S2126<config-if>#switchportmodetrunk！配置F0/4為T(mén)agged端口S2126<config-if>#exitS2126<config>#monitorsession1sourceinterfacefastEthernet0/4both!鏡像源端口S2126<config>#monitorsession1destinationinterfacefastEthernet0/3!鏡像目的端口S2126<config>#end②S3550的配置的配置：：Switch<config>#hostnameS3550！配置設(shè)備名為S3550S3550<config>#vlan10！啟用Vlan10S3550<config-vlan>#nameTest10S3550<config-vlan>#exitS3550<config>#vlan20！啟用Vlan20S3550<config-vlan>#nameTest20S3550<config-vlan>#exitS3550<config>#interfacefastEthernet0/4S3550<config-if>#switchportmodetrunk！配置F0/4為T(mén)agged端口S3550<config-if>#exitS3550<config>#interfacevlan10！配置SVI端口S3550<config-if>#ipaddressS3550<config-if>#noshutdownS3550<config-if>#exitS3550<config>#interfacevlan20！配置SVI端口S3550<config-if>#ipaddressS3550<config-if>#noshutdownS3550<config-if>#end③PC1和和PC2的配置的配置：：按照下表要求配置PC1和PC2。表3PC1和PC2的TCP/IP屬性PC1PC2IP地址0子網(wǎng)掩碼步驟3：在PC3上運(yùn)行Ethereal截獲報(bào)文；步驟4：在PC1的"運(yùn)行"對(duì)話框中輸入命令"Ping0”步驟5：停止截獲報(bào)文,將結(jié)果保存并對(duì)截獲的報(bào)文進(jìn)行分析：圖19IEEE802.1Q抓包結(jié)果圖19顯示了通過(guò)PC3監(jiān)控到的交換機(jī)Trunk口的數(shù)據(jù)流量,分析這些數(shù)據(jù)包并回答下列問(wèn)題：1S2126配置monitorsession1,是端口鏡像還是流鏡像？___________________________________2觀察捕獲的ICMP數(shù)據(jù)報(bào),你會(huì)發(fā)現(xiàn)每組4個(gè),共有4組。為什么會(huì)這樣？_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________3選擇其中一組ICMP數(shù)據(jù)報(bào),分析并完成下表。表4報(bào)文分析ICMPEcho〔pingRequest1源IP目的IP源MAC目的MACVLANIDICMPEcho〔pingRequest2源IP目的IP源MAC目的MACVLANIDICMPEcho〔pingReply1源IP目的IP源MAC目的MACVLANIDICMPEcho〔pingReply2源IP目的IP源MAC目的MACVLANID4請(qǐng)就表4的容說(shuō)明上述報(bào)文的執(zhí)行過(guò)程。_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________4.網(wǎng)絡(luò)層協(xié)議分析該層是網(wǎng)絡(luò)互聯(lián)層,負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。該層上的主要協(xié)議是IP協(xié)議,此外,這一層還包括三個(gè)子協(xié)議：ICMP協(xié)議、ARP協(xié)議和RARP協(xié)議。*互聯(lián)網(wǎng)控制信息協(xié)議〔ICMP,InternetControlMessageProtocolICMP是TCP/IP協(xié)議簇的的一個(gè)子協(xié)議,它和IP協(xié)議屬于同一層,但I(xiàn)CMP數(shù)據(jù)報(bào)是被封裝在IP數(shù)據(jù)報(bào)中發(fā)送的。ICMP協(xié)議通常被用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù),但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。該協(xié)議經(jīng)常被用作調(diào)試和監(jiān)視網(wǎng)絡(luò)。*網(wǎng)際協(xié)議〔IP,InternetProtocol這個(gè)協(xié)議是TCP/IP協(xié)議中最主要的協(xié)議之一,他負(fù)責(zé)處理來(lái)之傳輸層的分組發(fā)送請(qǐng)求和輸入的數(shù)據(jù)報(bào)文。該層以上各層的協(xié)議都要使用IP協(xié)議。*地址解析協(xié)議〔ARP和反地址解析協(xié)議〔RARP,ReverseAddressResolutionProtocol它們分別負(fù)責(zé)實(shí)現(xiàn)從IP地址到物理地址〔如以太網(wǎng)網(wǎng)卡MAC地址和從物理地址到IP地址的映射。4.1ICMP協(xié)議分析實(shí)驗(yàn)ICMP協(xié)議介紹ICMP〔InternetControlMessageProtocol是因特網(wǎng)控制報(bào)文協(xié)議[RFC792]的縮寫(xiě),是因特網(wǎng)的標(biāo)準(zhǔn)協(xié)議。ICMP允許路由器或主機(jī)報(bào)告差錯(cuò)情況和提供有關(guān)信息,用以調(diào)試、監(jiān)視網(wǎng)絡(luò)?！?ICMP的報(bào)文格式圖20ICMP回送請(qǐng)求和應(yīng)答報(bào)文格式在網(wǎng)絡(luò)中,ICMP報(bào)文將封裝在IP數(shù)據(jù)報(bào)中進(jìn)行傳輸。由于ICMP的報(bào)文類(lèi)型很多,且又有各自的代碼,因此,ICMP并沒(méi)有一個(gè)統(tǒng)一的報(bào)文格式供全部ICMP信息使用,不同的ICMP類(lèi)別分別有不同的報(bào)文字段。ICMP報(bào)文只在前4個(gè)字節(jié)有統(tǒng)一的格式,即類(lèi)型、代碼和校驗(yàn)和3個(gè)字段。接著的4個(gè)字節(jié)的容與ICMP報(bào)文類(lèi)型有關(guān)。圖20描述了ICMP的回送請(qǐng)求和應(yīng)答報(bào)文格式,ICMP報(bào)文分為首部和數(shù)據(jù)區(qū)兩大部分。其中：*類(lèi)型：一個(gè)字節(jié),表示ICMP消息的類(lèi)型,容參見(jiàn)表5；*代碼：一個(gè)字節(jié),用于進(jìn)一步區(qū)分某種類(lèi)型的幾種不同情況；*校驗(yàn)和：兩個(gè)字節(jié),提供對(duì)整個(gè)ICMP報(bào)文的校驗(yàn)和；〔2ICMP的報(bào)文類(lèi)型ICMP報(bào)文的種類(lèi)可以分為ICMP差錯(cuò)報(bào)告報(bào)文和ICMP詢(xún)問(wèn)報(bào)文兩種,表5列出了已定義的幾種ICMP消息。表5ICMP消息及類(lèi)型碼類(lèi)型的值ICMP消息類(lèi)型類(lèi)型的值ICMP消息類(lèi)型0回送<Echo>應(yīng)答12參數(shù)出錯(cuò)報(bào)告3目的站點(diǎn)不可達(dá)13時(shí)間戳<Timestamp>請(qǐng)求4源站點(diǎn)抑制<Sourcequench>14時(shí)間戳<Timestamp>應(yīng)答5路由重定向<Redirect>15信息請(qǐng)求8回送請(qǐng)求16信息應(yīng)答9路由器詢(xún)問(wèn)17地址掩碼<Addressmask>請(qǐng)求10路由器通告18地址掩碼<Addressmask>應(yīng)答11超時(shí)報(bào)告其中差錯(cuò)報(bào)告報(bào)文主要有目的站點(diǎn)不可達(dá)、源站點(diǎn)抑制、超時(shí)、參數(shù)問(wèn)題和路由重定向5種；ICMP詢(xún)問(wèn)報(bào)文有回送請(qǐng)求和應(yīng)答、時(shí)間戳請(qǐng)求和應(yīng)答、地址掩碼請(qǐng)求和應(yīng)答以及路由器詢(xún)問(wèn)和通告4種?！?ICMP常見(jiàn)的消息類(lèi)型下面介紹幾種常用的ICMP消息類(lèi)型。*目的站點(diǎn)不可達(dá)〔3產(chǎn)生"目的站點(diǎn)不可達(dá)"的原因有多種。在路由器不知道如何到達(dá)目的網(wǎng)絡(luò)、數(shù)據(jù)報(bào)指定的源路由不穩(wěn)定、路由器必須將一個(gè)設(shè)置了不可分段標(biāo)志的數(shù)據(jù)報(bào)分段等情況下,路由器都會(huì)返回此消息。如果由于指明的協(xié)議模塊或進(jìn)程端口未被激活而導(dǎo)致目的主機(jī)的IP不能傳送數(shù)據(jù)報(bào),這時(shí)目的主機(jī)也會(huì)向源主機(jī)發(fā)送"目的站點(diǎn)不可達(dá)"的消息。為了進(jìn)一步區(qū)分同一類(lèi)型信息中的幾種不同情況,在ICMP報(bào)文格式中引入了代碼字段,該類(lèi)型常見(jiàn)信息代碼及其意義如下：表6ICMP類(lèi)型3的常見(jiàn)代碼代碼描述處理代碼描述處理0網(wǎng)絡(luò)不可達(dá)；無(wú)路由到達(dá)主機(jī)1主機(jī)不可達(dá)；無(wú)路由到達(dá)主機(jī)2協(xié)議不可用；連接被拒絕3端口不可達(dá)；連接被拒絕4需分段但DF值為0；報(bào)文太長(zhǎng)5源路由失??；無(wú)路由到達(dá)主機(jī)*源站點(diǎn)抑制〔4此消息類(lèi)型提供了流控制的一種基本形式。當(dāng)數(shù)據(jù)報(bào)到達(dá)得太快,路由器或主機(jī)來(lái)不及處理時(shí),這些數(shù)據(jù)報(bào)就必須被丟棄。丟棄數(shù)據(jù)報(bào)的計(jì)算機(jī)就會(huì)發(fā)一條"源站點(diǎn)抑制"的ICMP報(bào)文。"源站點(diǎn)抑制"消息的接收者就會(huì)降低向該消息發(fā)送站點(diǎn)發(fā)送數(shù)據(jù)報(bào)的速度。*回送請(qǐng)求〔8和回送應(yīng)答〔0這兩種ICMP消息提供了一種用于確定兩臺(tái)計(jì)算機(jī)之間是否可以進(jìn)行通信的機(jī)制。當(dāng)一個(gè)主機(jī)或路由器向一個(gè)特定的目的主機(jī)發(fā)出ICMP回送請(qǐng)求報(bào)文時(shí),該報(bào)文的接收者應(yīng)當(dāng)向源主機(jī)發(fā)送ICMP回送應(yīng)答報(bào)文。*時(shí)間戳請(qǐng)求〔15和時(shí)間戳應(yīng)答〔16這兩種消息提供了一種對(duì)網(wǎng)絡(luò)延遲進(jìn)行取樣的機(jī)制。時(shí)間戳請(qǐng)求的發(fā)送者在其報(bào)文的信息字段中寫(xiě)入發(fā)送消息的時(shí)間。接收者在發(fā)送時(shí)間戳之后添加一個(gè)接收時(shí)間戳,并作為時(shí)間戳應(yīng)答消息報(bào)文返回。*地址掩碼請(qǐng)求〔17和地址掩碼應(yīng)答〔18主機(jī)可以用"地址掩碼請(qǐng)求"消息來(lái)查找其所連接網(wǎng)絡(luò)的子網(wǎng)掩碼。主機(jī)在網(wǎng)絡(luò)上廣播請(qǐng)求,并等待路由器的包含子網(wǎng)掩碼的"地址掩碼應(yīng)答"消息報(bào)文的到來(lái)。*超時(shí)報(bào)告〔11當(dāng)一個(gè)數(shù)據(jù)報(bào)的TTL值到達(dá)0時(shí),路由器將會(huì)給源主機(jī)發(fā)送超時(shí)報(bào)文。2．基于ICMP的應(yīng)用程序目前網(wǎng)絡(luò)中常用的基于ICMP的應(yīng)用程序主要有ping命令和tracert命令。〔1ping命令Ping命令是調(diào)試網(wǎng)絡(luò)常用的工具之一。它通過(guò)發(fā)出ICMPEcho請(qǐng)求報(bào)文并監(jiān)聽(tīng)其回應(yīng)來(lái)檢測(cè)網(wǎng)絡(luò)的連通性。圖21顯示了Ethereal捕獲的ICMPEcho請(qǐng)求報(bào)文和應(yīng)答報(bào)文。圖21ICMPEcho請(qǐng)求報(bào)文和應(yīng)答報(bào)文Ping命令只有在安裝了TCP/IP協(xié)議之后才可以使用,其命令格式如下：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout]target_name這里對(duì)實(shí)驗(yàn)中可能用到的參數(shù)解釋如下：*-t：用戶(hù)所在主機(jī)不斷向目標(biāo)主機(jī)發(fā)送回送請(qǐng)求報(bào)文,直到用戶(hù)中斷；*-ncount：指定要Ping多少次,具體次數(shù)由后面的count來(lái)指定,缺省值為4；*-lsize：指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小,默認(rèn)為32字節(jié),最大值是65,527；*-wtimeout：指定超時(shí)間隔,單位為毫秒；*target_name：指定要ping的遠(yuǎn)程計(jì)算機(jī)?！?Traceroute命令Traceroute命令用來(lái)獲得從本地計(jì)算機(jī)到目的主機(jī)的路徑信息。在MSWindows中該命令為T(mén)racert,而UNIX系統(tǒng)中為T(mén)raceroute。Tracert先發(fā)送TTL為1的回顯請(qǐng)求報(bào)文,并在隨后的每次發(fā)送過(guò)程將TTL遞增1,直到目標(biāo)響應(yīng)或TTL達(dá)到最大值,從而確定路由。它所返回的信息要比ping命令詳細(xì)得多,它把您送出的到某一站點(diǎn)的請(qǐng)求包,所走的全部路由均告訴您,并且告訴您通過(guò)該路由的IP是多少,通過(guò)該IP的時(shí)延是多少。Tracert命令同樣要在安裝了TCP/IP協(xié)議之后才可以使用,其命令格式為：tracert[-d][-hmaximum_hops][-jcomputer-list][-wtimeout]target_name參數(shù)含義為：*-d：不解析目標(biāo)主機(jī)的名稱(chēng)；*-h：指定搜索到目標(biāo)地址的最大跳躍數(shù)；*-j：按照主機(jī)列表中的地址釋放源路由；*-w：指定超時(shí)時(shí)間間隔,程序默認(rèn)的時(shí)間單位是毫秒。3．實(shí)驗(yàn)環(huán)境與說(shuō)明〔1實(shí)驗(yàn)?zāi)康恼莆誴ing和tracert命令的使用方法,了解ICMP協(xié)議報(bào)文類(lèi)型及其作用。執(zhí)行ping和tracert命令,分別截獲報(bào)文,分析截獲的ICMP報(bào)文類(lèi)型和ICMP報(bào)文格式,理解ICMP協(xié)議的作用?！?實(shí)驗(yàn)設(shè)備和連接實(shí)驗(yàn)設(shè)備和連接圖如圖22所示,一臺(tái)銳捷R1760路由器連接2臺(tái)PC機(jī),分別命名為PC1、PC2。圖22ICMP協(xié)議分析實(shí)驗(yàn)連接圖〔3實(shí)驗(yàn)分組每四名同學(xué)為一組,其中每?jī)扇艘恍〗M,每小組各自獨(dú)立完成實(shí)驗(yàn)。4．實(shí)驗(yàn)步驟步驟1：按照如圖22所示連接好設(shè)備；步驟2：完成路由器和PC1、PC2的相關(guān)配置；〔編者注：實(shí)驗(yàn)室中任何一臺(tái)PC都可以作為模型中的PC1。PC2用25等另一網(wǎng)段機(jī)器代理即可。路由器的配置參考如下：router#configureterminalrouter<config>#interfacefastEthernet1/0router<config-if>#ipaddressrouter<config-if>#noshutdownrouter<config-if>#interfacefastEthernet1/1router<config-if>#ipaddressrouter<config-if>#noshutdownPC1和PC2的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)按照?qǐng)D中有關(guān)參數(shù)配置。步驟3：分別在PC1和PC2上運(yùn)行Ethereal,開(kāi)始截獲報(bào)文,為了只截獲和實(shí)驗(yàn)容有關(guān)的報(bào)文,將Ethereal的CaptrueFilter設(shè)置為"NoBroadcastandnoMulticast"；步驟4：在PC1上以PC2為目標(biāo)主機(jī),在命令行窗口執(zhí)行Ping命令；請(qǐng)寫(xiě)出執(zhí)行的命令：_____________________________________________________步驟5：停止截獲報(bào)文,將截獲的結(jié)果保存為ICMP-1-學(xué)號(hào),分析截獲的結(jié)果,回答下列問(wèn)題：1您截獲幾個(gè)ICMP報(bào)文？分別屬于那種類(lèi)型？__________________________________________________________________________________________________________________________________________________________2分析截獲的ICMP報(bào)文,查看表7中要求的字段值,填入表中。表7ICMP報(bào)文分析報(bào)文號(hào)源IP目標(biāo)IPICMP報(bào)文格式類(lèi)型代碼標(biāo)識(shí)序列號(hào)3分析在上表中哪個(gè)字段保證了回送請(qǐng)求報(bào)文和回送應(yīng)答報(bào)文的一一對(duì)應(yīng),仔細(xì)體會(huì)Ping命令的作用。_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________步驟6：在PC1上運(yùn)行Ethereal開(kāi)始截獲報(bào)文；步驟7：在PC1上執(zhí)行Tracert命令,向一個(gè)本網(wǎng)絡(luò)中不存在的主機(jī)發(fā)送數(shù)據(jù)報(bào),如：Tracert00；步驟8：停止截獲報(bào)文,將截獲的結(jié)果保存為ICMP-2-學(xué)號(hào),分析截獲的報(bào)文,回答下列問(wèn)題：1截獲了報(bào)文中哪幾種ICMP報(bào)文？其類(lèi)型碼和代碼各為多少？_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________2在截獲的報(bào)文中,超時(shí)報(bào)告報(bào)文的源地址是多少？這個(gè)源地址指定設(shè)備和PC1有何關(guān)系？_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________3通過(guò)對(duì)兩次截獲的ICMP報(bào)文進(jìn)行綜合分析,仔細(xì)體會(huì)ICMP協(xié)議在網(wǎng)絡(luò)中的作用。_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________4.2IP協(xié)議分析實(shí)驗(yàn)1．IP協(xié)議介紹〔1IP地址的編址方法IP地址是為每個(gè)連接在互聯(lián)網(wǎng)上的主機(jī)分配的唯一識(shí)別的32位標(biāo)識(shí)符。IP地址的編址方法共經(jīng)歷了三個(gè)階段：*分類(lèi)的IP地址這是一種基于分類(lèi)的兩級(jí)IP地址編址的方法。表8IP地址的分類(lèi)IP地址類(lèi)型第一字節(jié)十進(jìn)制圍二進(jìn)制固定最高位二進(jìn)制網(wǎng)絡(luò)位二進(jìn)制主機(jī)位A類(lèi)1-12608位24位B類(lèi)128－1911016位16位C類(lèi)192－22311024位8位D類(lèi)224－2391110組播地址E類(lèi)240－2541111保留試驗(yàn)使用如表8所示,IP地址分為A,B,C,D,E五類(lèi),其中A、B、C類(lèi)地址為可分配主機(jī)地址,而D類(lèi)地址為組播地址,E類(lèi)地址保留以備將來(lái)的特殊使用。IP地址采用點(diǎn)分十進(jìn)制方式記錄,每個(gè)地址表被視為4個(gè)以點(diǎn)分隔開(kāi)的十進(jìn)制整數(shù),每個(gè)整數(shù)對(duì)應(yīng)一個(gè)字節(jié)。A、B、C三類(lèi)地址由兩部分組成：網(wǎng)絡(luò)地址和主機(jī)地址,這三類(lèi)地址的網(wǎng)絡(luò)地址部分的長(zhǎng)度不一樣。每個(gè)A類(lèi)地址的網(wǎng)絡(luò)中可以有1600萬(wàn)臺(tái)主機(jī)；每個(gè)B類(lèi)地址的網(wǎng)絡(luò)中可以有65534臺(tái)主機(jī)；每個(gè)C類(lèi)地址的網(wǎng)絡(luò)中可以有254臺(tái)主機(jī)。這樣對(duì)于一個(gè)共有幾十臺(tái)計(jì)算機(jī)的局域網(wǎng)來(lái)說(shuō)即使分配一個(gè)C類(lèi)地址也是一種浪費(fèi)。為此,提出了子網(wǎng)和子網(wǎng)掩碼的概念。*劃分子網(wǎng)的IP地址子網(wǎng)就是將一個(gè)A類(lèi)、B類(lèi)或C類(lèi)網(wǎng)絡(luò)分割成許多小的網(wǎng)絡(luò),每一個(gè)小的網(wǎng)絡(luò)就稱(chēng)為子網(wǎng)。劃分子網(wǎng)采用"網(wǎng)絡(luò)號(hào)"＋"子網(wǎng)號(hào)"＋"主機(jī)號(hào)"三級(jí)編址的方法。在劃分了子網(wǎng)的網(wǎng)絡(luò)地址中,子網(wǎng)掩碼用于確定網(wǎng)絡(luò)地址。子網(wǎng)掩碼是一個(gè)和IP地址對(duì)應(yīng)的32位二進(jìn)制數(shù)。子網(wǎng)掩碼中與IP地址的網(wǎng)絡(luò)地址對(duì)應(yīng)的部分為1,與主機(jī)地址對(duì)應(yīng)的部分為0。這樣把網(wǎng)絡(luò)接口的IP地址與該接口上的掩碼相與就得到該接口所在網(wǎng)絡(luò)的網(wǎng)絡(luò)地址,而把該IP地址與掩碼的反碼相與則可得到主機(jī)地址。*無(wú)分類(lèi)域間路由選擇CIDR無(wú)分類(lèi)域間路由選擇CIDR是根據(jù)劃分子網(wǎng)階段的問(wèn)題提出的編址方法。IP地址采用"網(wǎng)絡(luò)前綴"＋"主機(jī)號(hào)"的編址方式。目前CIDR是應(yīng)用最廣泛的編址方法,它消除了傳統(tǒng)的A、B、C類(lèi)地址和劃分子網(wǎng)的概念,提高了IP地址資源的利用率,并使得路由聚合的實(shí)現(xiàn)成為可能。〔2IP報(bào)文格式IP報(bào)文由報(bào)頭和數(shù)據(jù)兩部分組成,如圖23所示：圖23IP報(bào)文格式其中主要字段的意義和功能如下：*版本：指IP協(xié)議的版本；*頭長(zhǎng)：是指IP數(shù)據(jù)報(bào)的報(bào)頭長(zhǎng)度,它以4字節(jié)為單位。IP報(bào)頭長(zhǎng)度至少為20字節(jié),如果選項(xiàng)部分不是4字節(jié)的整數(shù)倍時(shí),由填充補(bǔ)齊；*總長(zhǎng)度：為整個(gè)IP數(shù)據(jù)報(bào)的長(zhǎng)度；*服務(wù)類(lèi)型：規(guī)定對(duì)數(shù)據(jù)報(bào)的處理方式；*標(biāo)識(shí)：是IP協(xié)議賦予數(shù)據(jù)報(bào)的標(biāo)志,用于目的主機(jī)確定數(shù)據(jù)分片屬于哪個(gè)報(bào)文；*標(biāo)志：為三個(gè)比特,其中只有低兩位有效,這兩位分別表示該數(shù)據(jù)報(bào)文能否分段和是否該分段是否為源報(bào)文的最后一個(gè)分段；*生存周期：為數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的生存時(shí)間,報(bào)文每經(jīng)過(guò)一個(gè)路由器時(shí),其值減1,當(dāng)生存周期變?yōu)?時(shí),丟棄該報(bào)文；從而防止網(wǎng)絡(luò)中出現(xiàn)循環(huán)路由；*協(xié)議：指IP數(shù)據(jù)部分是由哪一種協(xié)議發(fā)送的；*校驗(yàn)和：只對(duì)IP報(bào)頭的頭部進(jìn)行校驗(yàn),保證頭部的完整性；*源IP地址和目的IP地址：分別指發(fā)送和接收數(shù)據(jù)報(bào)的主機(jī)的IP地址?！?IP數(shù)據(jù)報(bào)的傳輸過(guò)程在互聯(lián)網(wǎng)中,IP數(shù)據(jù)報(bào)根據(jù)其目的地址不同,經(jīng)過(guò)的路徑和投遞次數(shù)也不同。當(dāng)一臺(tái)主機(jī)要發(fā)送IP數(shù)據(jù)報(bào)時(shí),主機(jī)將待發(fā)送數(shù)據(jù)報(bào)的目的地址和自己的子網(wǎng)掩碼按位"與",判斷其結(jié)果是否與其所在網(wǎng)絡(luò)的網(wǎng)絡(luò)地址相同,若相同,則將數(shù)據(jù)報(bào)直接投遞給目的主機(jī),否則,將其投遞給下一跳路由器。路由器轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)的過(guò)程如下：①當(dāng)路由器收到一個(gè)數(shù)據(jù)報(bào)文時(shí),對(duì)和該路由器直接相連的網(wǎng)絡(luò)逐個(gè)進(jìn)行檢查,即用目的地址和每個(gè)網(wǎng)絡(luò)的子網(wǎng)掩碼按位"與",若與某網(wǎng)絡(luò)的網(wǎng)地址相匹配,則直接投遞；否則,執(zhí)行2。②對(duì)路由表的每一行,將其中的子網(wǎng)屏蔽碼與數(shù)據(jù)報(bào)的目的地址按位"與",若與該行的目的網(wǎng)絡(luò)地址相等,則將該數(shù)據(jù)報(bào)發(fā)往該行的下一跳路由器；否則,執(zhí)行3。③若路由表中有一個(gè)默認(rèn)路由,則將數(shù)據(jù)報(bào)發(fā)送給路由表所指定的默認(rèn)路由器。否則,報(bào)告轉(zhuǎn)發(fā)出錯(cuò)。2．實(shí)驗(yàn)環(huán)境與說(shuō)明〔1實(shí)驗(yàn)?zāi)康氖褂肞ing命令在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)報(bào),用Ethereal截獲數(shù)據(jù)報(bào),分析IP數(shù)據(jù)報(bào)的格式,理解IPV4地址的編址方法,加深對(duì)IP協(xié)議的理解?！?實(shí)驗(yàn)設(shè)備和連接實(shí)驗(yàn)設(shè)備和連接圖如圖24所示,一臺(tái)銳捷R1760路由器連接2臺(tái)PC機(jī),分別命名為PC1、PC2。圖24IP協(xié)議分析實(shí)驗(yàn)連接圖〔3實(shí)驗(yàn)分組每四名同學(xué)為一組,其中每?jī)扇艘恍〗M,每小組各自獨(dú)立完成實(shí)驗(yàn)。3．實(shí)驗(yàn)步驟步驟1：按照如圖24所示連接好設(shè)備；步驟2：完成路由器和PC1、PC2的相關(guān)配置,與4.1實(shí)驗(yàn)步驟2相同；〔編者注：實(shí)驗(yàn)室中任何一臺(tái)PC都可以作為模型中的PC1。而PC2用25等另一網(wǎng)段機(jī)器代理即可。步驟3：按照4.1實(shí)驗(yàn)方法,截獲PC1上pingPC2的報(bào)文,結(jié)果保存為IP-學(xué)號(hào)；步驟4：任取一個(gè)數(shù)據(jù)報(bào),分析IP協(xié)議的報(bào)文格式,完成下列各題：1分析IP數(shù)據(jù)報(bào)頭的格式,完成表9；表9IP協(xié)議報(bào)文分析字段報(bào)文信息說(shuō)明版本頭長(zhǎng)服務(wù)類(lèi)型總長(zhǎng)度標(biāo)識(shí)標(biāo)志片偏移生存周期協(xié)議校驗(yàn)和源地址目的地址2查看該數(shù)據(jù)報(bào)的源IP地址和目的IP地址,他們分別是哪類(lèi)地址？體會(huì)IP地址的編址方法。_______________________________________