计算机网络安全：第6章 TCPIP协议族和IP地址1

第6章TCP/IP协议族和IP地址

学习目标伴随着网络技术的飞速发展，网络已经逐渐改变着生活、学习和工作方式，对我们的影响越来越大。在Internet中使用了众多的网络协议，本章将对常用网络协议组成与配置进行详细的讲解，并简单介绍Internet的发展、特点以及其提供的服务等知识。本章要点网络互连与Internet的发展Internet的组成、服务和特点TCP/IP参考模型TCP/UDP协议IP协议域名系统网络互连与Internet的发展网络之间进行互连，这与Internet的出现有着密不可分的关系。网络互连的必要性网络互连的层次网络互连的类型网络互连的必要性单一的计算机局域网由于覆盖范围有限，其资源相对匮乏，若要扩大通信和资源共享的范围，这就需要将若干个局域网连接成为一个更大的网络，使得不同网络中的用户能够相互通信以及共享资源。网络互连的层次网络结构和协议是具有分层关系的，如两个网络之间要相互连接，首先需确定是在哪一个层上建立连接，即确定互连层。确定互连层的原则是：必须保证在互连层及互连层以上的层次和协议均相同。在互连层以下，则允许两个网络使用不同的协议。通常把在物理层、数据链路层和网络层实现的互连分别称为物理层互连、数据链路层互连和网络层互连，而把传输层及以上各层协议之间的互连统称为高层互连。其各自的特点分别如下：网络互连的层次物理层互连数据链路层互连网络层互连高层互连物理层互连通过中继器来实现物理层的互连。通过物理层互连，能够完成比特信号的复制、放大和整形等功能。物理层互连通常用于扩展局域网段的长度，实现两个相同类型局域网互连。数据链路层互连通过网桥来实现数据链路层互连。用户在使用网桥实现数据链路层互连两个或多个网络时，不必考虑互连网络的数据链路层与物理层协议是否相同。若协议不同，只需要在数据链路层进行协议转换即可。网络层互连使用路由器实现网络层互连。网络层互连可以实现在不同网络之间存储或转发数据。高层互连使用网关实现传输层及以上各层的互连。采用不同的传输层及以上各层协议的网络之间互连时，网关完成对相应高层协议的转换。而使用最多的网关是应用层网关，它可以实现两个应用层及以下各层均不相同的网络互连。网络互连的类型计算机网络根据覆盖地域范围可以分为广域网、城域网与局域网3类，因此，根据这3种网络类型，可将网络之间的互连划分为局域网-局域网互连、局域网-广域网互连、局域网-广域网-局域网互连、广域网-广域网互连这几种类型。下面将分别进行介绍。局域网-局域网互连局域网-广域网互连局域网-广域网-局域网互连广域网-广域网互连局域网-局域网互连局域网与局域网之间互连是最常见的一种互连方式。该互连方式还分为同种局域网互连和异种局域网互连两种方式。同种局域网互连是指当两个相同类型的局域网采用相同的局域网协议实现互连；而异种局域网互连是指两个不同类型的局域网，需要采用协议转换机制才能够进行互连。使用最多的当数同种局域网互连这种方式，因为其实现相当方便。局域网-广域网互连局域网与广域网之间建立网络互连是常见的互连方式之一。局域网与广域网互连时，在局域网与广域网之间必须采用路由器或网关来实现互连。局域网-广域网-局域网互连通过广域网，能够实现两个相距很远的局域网之间的互连，这也是通常所说的“局域网-广域网-局域网互连”。它的实现步骤是：将其中一个局域网连接到广域网中，此后再将另外一个局域网也接入广域网，以此来实现两个局域网之间的连接。局域网通过广域网实现互连广域网-广域网互连广域网与广域网互连，同样是使用路由器或网关来实现，让连入广域网的计算机能够在更大范围内实现资源共享。Internet的组成、服务和特点Internet已经逐渐地步入了人们的工作和生活，下面将详细讲解Internet的组成、特点和它所提供的服务。Internet的组成Internet提供的服务Internet的特点Internet的组成要全面地了解Internet的组成，应从物理和逻辑两个方面来分析。物理上划分逻辑上划分物理上划分从物理硬件上来看，Internet主要由通信线路、路由器、服务器及客户机等部分组成。1）通信线路通信线路是Internet的基础设施，通过它将Internet中的路由器、服务器以及世界各地的计算机连接起来。目前，通信线路主要分为有线线路和无线线路两大类。通信线路传输能力的高低，通常使用带宽来进行描述，带宽越宽，其数据传输能力越强。物理上划分2）路由器组成Internet的又一重要设备是路由器，它的作用是当数据从一个网络传输到另一个网络时，路由器需要根据数据所要到达的目的地，为其选择一条最佳路径，指明数据传输路径。3）服务器与客户机接入Internet的计算机通常可以分为服务器和客户机两大类：物理上划分服务器：是Internet服务与信息资源的提供者，作为服务器的主机要求具有较高的性能和较大的存储容量。客户机：是Internet服务与信息资源的使用者，一台普通的计算机即可作为客户机。服务器借助于服务器软件向用户提供服务和管理信息资源，用户通过客户机中各类Internet服务软件访问Internet上的服务和资源。逻辑上划分从逻辑上看，为了便于管理，Internet采用了层次网络的结构，即采用主干网、次级网和园区网的逐级覆盖结构。下面分别进行讲解。主干网：由代表国家或者行业的有限个中心节点通过专线连接形成；主干网覆盖到国家一级，连接各个国家的因特网互连中心。次级网（区域网）：由若干个作为中心结点代理的次中心结点组成。园区网（校园网、企业网）：直接面向用户的网络。Internet提供的服务目前，Internet能够提供众多的服务，其中包括WWW服务、电子邮件服务、文件传输服务、远程登录服务和网络新闻服务等。下面将进行详细的介绍。万维网（WWW）服务电子邮件（E-mail）服务文件传输（FTP）服务远程登录（Telnet）服务网络新闻（Usenet）服务其他服务万维网（WWW）服务WWW是WorldWideWeb的缩写，它是Internet最重要的服务之一。WWW是一个集文本、图像、声音、影像等多种媒体的信息发布平台，同时具有交互式服务功能，是目前用户获取信息的最基本手段。电子邮件（E-mail）服务电子邮件（E-mail）服务是目前Internet上使用最广泛的服务之一，用户通过该服务，可以相互传递各种文本、声音、图像、视频等信息。电子邮件系统分为邮件服务器和邮件客户两个部分。文件传输（FTP）服务FTP（FileTransferProtocol）是“文件传输协议”的缩写，通过该协议，用户可以从一台计算机向另一台计算机复制并传送文件。匿名（Anonymous）FTP是专门将共享文件提供大家使用的系统，用户可以不输入访问口令直接访问和使用这类计算机。远程登录（Telnet）服务远程登录（Telnet）服务允许用户通过本地计算机登录到远程计算机中，不论远程计算机位于何处，只要用户拥有远程计算机的账号，就可以使用远程计算机的各处资源，包括程序、数据库和其上的各种设备。目前，使用最多的远程登录（Telnet）服务当数在Internet的电子公告板“BBS”中的应用。网络新闻（Usenet）服务网络新闻（Usenet）服务最早出现在20世纪80年代初期。如今，网络新闻中不同的讨论主题被称为新闻组（NewsGroups），发送到新闻组的消息被称为文章（Articles）。Usenet新闻组被划分为许多不同的分支题目领域，每个题目领域在许多不同的讲座组。其他服务除上面介绍的Internet基本服务外，Internet还有如Gopher、Archie、WAIS等服务。Gopher是基于菜单驱动的信息查询软件。用户可以对Internet上的远程联机信息系统进行实时访问。其他服务Archie可自动并定期地查询大量的InternetFTP服务器，将其中的文件索引创建到单一的、可搜索的数据库中。该数据库可定期更新。除了接受联机查询外，许多Archie服务还受理用户电子邮件发来的查询。广域信息服务器WAIS，又称为数据库的数据库，是供用户查询分布在Internet上各类数据库的一个通用接口软件，该系统能自动进行远程查询。Internet的特点Internet是由许许多多属于不同国家、部门和机构的网络互连起来的网络（网间网），任何运行Internet协议（TCP/IP协议），而且愿意接入Internet的网络都可以成为Internet的一部分，其用户可以共享Internet的资源，用户自身的资源也可向Internet开放。总的说来，Internet具有以下几个特点：Internet不属于任何个人、企业和部门，也没有任何固定的设备和传输媒体。Internet的特点Internet是一个无所不在的网络，它覆盖到了世界各地，覆盖了各行各业。Internet的成员可以自由地“接入”和“退出”Internet。Internet是一个包罗万象的网络，蕴含的内容异常丰富，天文地理、政治时事、人文喜好等，具有无穷的资源。TCP/IP参考模型如今，伴随着Internet在全世界的飞速发展，TCP/IP的广泛应用对网络技术发展产生了重要的影响。在网络体系结构模型中，TCP/IP是另外一个非常重要的体系结构模型，也是实际生活中接触最多的应用模型。下面将进行详细的介绍。TCP/IP参考模型概述TCP/IP协议簇TCP/IP参考模型概述TCP/IP参考模型相对于OSI/RM参考模型显得简单明了，其分为应用层、传输层、网络互联层和主机-网络层4个层次。TCP/IP参考模型概述在TCP/IP参考模型中，去掉了OSI/RM参考模型中的会话层和表示层。将OSI/RM参考模型中的数据链路层和物理层合并为“主机-网络层”。下面分别介绍各层的主要特点和功能。TCP/IP参考模型概述主机-网络层网络互联层传输层应用层主机-网络层在TCP/IP参考模型中，主机-网络层是TCP/IP参考模型中的最低层，负责网络层与硬件设备的联系。随着网络类型的不同，在这一层的具体实现方法也不相同。其功能分别如下：物理层主要是指网络接口设备，它相当于TCP/IP模型中的最底层，负责将上层协议的数据帧通过网络设备发送到网络，或者接收从网络到达的数据帧。主机-网络层数据链路层负责处理将上层IP协议报转换为数据帧，包括了硬件接口和ARP、RARP这两个协议，主要是用来建立送到物理层上的信息和接收从物理层上传来的信息。网络互联层网络互联层是整个TCP/IP协议的核心。对应于OSI/RM参考模型的网络层。负责对独立传送的数据分组进行路由选择，以保证可以发送到目的主机。由于该层中使用的是IP协议，因此又称为IP层。网络互联层还拥有拥塞控制的功能。传输层在TCP/IP模型中，使源端主机和目标端主机上的对等实体进行会话属于传输层的功能。在传输层定义了传输控制协议TCP和用户数据报协议UDP两种服务质量不同的协议。TCP协议是一个面向连接的、可靠的协议。它将一台主机发出的字节流无差错地发往互联网上的其他主机。TCP协议还要处理端到端的流量控制。应用层TCP/IP模型中，应用层实现了OSI参考模型中会话层和表示层的功能。在应用层中，能够对不同的网络应用引入不同的应用层协议。TCP/IP协议簇TCP/IP协议簇是指作用于计算机通信的一组协议，该协议簇的实现是以协议报文格式为基础，完成对数据的交换和传输。TCP/IP协议簇的组成TCP/IP协议簇的功能TCP/IP协议簇的组成TCP/IP协议簇包括了地址解析协议ARP、逆向地址解析协议RARP、Internet协议IP、网际控制报文协议ICMP、用户数据报协议UDP、传输控制协议TCP、超文本传输协议HTTP等众多的协议。其中最重要的两个协议是传输控制协议（TCP）和网际协议（IP）。TCP/IP协议簇TCP/IP协议簇的功能在TCP/IP协议簇中包含了多种协议，这些协议处于TCP/IP参考模型中的各个层次，因此各个协议的功能也大相径庭。下面将作一个简要的介绍。1）应用层由于Internet应用范围在不断地扩大，在应用层中包括的高层协议也逐渐增多，目前在其中主要使用的协议有以下几种：TCP/IP协议簇的功能FTP：文件传输协议，用于实现交互式文件传输和文件管理功能。HTTP：超文本传输协议，用于Internet上的WWW服务。DNS：域名服务，用于实现网络设备域名到IP地址的映射。SMTP：简单电子邮件协议，用于实现电子邮件传送功能。TELNET：网络终端仿真协议，实现远程系统登录功能，以方便用户使用远程主机中共享的资源。TCP/IP协议簇的功能2）传输层在传输层中定义了传输控制协议和用户数据报协议两种协议。TCP：一种可靠的面向连接的协议，可以将源主机的字节流无差错地传送到目的主机。在多数情况下，为保证将通信子网中的传输错误全部处理，传输层使用TCP协议。UDP：一种不可靠的无连接协议，由应用层完成其分组传输中的差错控制。TCP/IP协议簇的功能3）网络互联层在网络互联层中定义了一种面向无连接的协议——IP协议。它负责将发送主机的数据分组以无连接的方式发送到目的主机。由于是无连接方式，各数据分组在Internet中是独立传输的，所以IP层必须负责数据分组传送过程中的路由选择和差错控制。IP层是TCP/IP的核心，这是因为IP为TCP和UDP提供服务，TCP和UDP都通过IP来发送、接收数据。TCP/IP协议簇的功能IP层还包括两个重要的协议：地址解析协议（ARP）和逆向地址解析协议（RARP）。这两个协议用于需要进行IP地址与物理地址转换的场合。ARP根据结点的IP地址查找物理地址；RARP则根据结点的物理地址查找IP地址。4）主机-网络层主机-网络层可连接多种物理网络协议。尽管这些网络的差异很大，但通过相应的接口程序将它们的网络数据组装成统一的IP数据分组，因此都可以在Internet上传送。TCP/UDP协议在TCP/IP协议簇中，传输控制协议（TCP）和用户数据报协议（UDP）在传输层中运行。TCP和UDP的协议数据单元都要经过IP封装成IP数据报来传送。TCP提供端到端的、可靠的、面向连接的服务；UDP提供端到端的、不可靠的、无连接的服务。下面将分别对这两个协议进行详细的介绍。TCP/UDP协议端口TCP协议UDP协议端口端口（port）是传输层中最为重要的一个概念。TCP和UDP都使用端口进行寻址，它们分别拥有自己的端口号。这些端口号可以共存于一台主机而互不干扰。在多任务环境中，每个端口对应于主机上的一个进程。TCP协议TCP是一个面向连接的传输层协议。由于TCP协议在各个行业中的成功应用，它已成为事实上的网络标准，广泛应用于各种网络主机间的通信。TCP协议的功能TCP报文的首部格式TCP协议的功能由于IP提供的是不可靠的数据报服务。为了保证数据传输的正确性，需要通过TCP协议对IP协议进行“弥补”，以提供一个可靠的、面向连接的、全双工的数据流传输服务。TCP协议的主要功能介绍如下。建立和释放连接：TCP允许在不同主机之间建立连接，以实现全双工数据传输，传输结束后自动释放连接。在连接时，TCP采用著名的“3次握手”技术，释放时采用“文雅释放”技术。TCP协议的功能基本数据传输：为了方便数据传输，上层数据被TCP分成若干段，每段是一个传输层的协议数据单元。通过TCP将每个段封装在IP数据报中传输。可靠性控制：TCP为了保证数据传输的可靠性，采用了滑动窗口、超时重传、流量控制等技术。多路复用：TCP可以为多个进程提供并行传输连接，实现更大的传输速率。TCP报文的首部格式TCP报文由报文首部和数据两大部分组成。TCP的全部功能都在其报文首部中全部体现出来。TCP报文首部的固定大小为20个字节。TCP报文格式TCP报文的首部格式下面将对报文格式首部中的主要字段进行简单的解释：源端口和目的端口（各占16bit）：TCP端口是指TCP与应用层服务的接口，不同的服务其接口也各不相同。序列号（占32bit）：TCP报文中的数据流是按字节进行编号的。TCP报文中的序列号是指本报文中数据部分的起始字节号。TCP报文的首部格式确认号（占32bit）：TCP报文中的确认号是指接收方希望收到发送方发送的下一个报文中数据部分的第一个字节序号。需要注意与前面的序列号之间的区别。数据偏移（占4bit）：数据偏移指明了TCP报文首部的长度。TCP报文首部中，通常都有可变长度的选项，因此TCP报文中首部长度也是可变的。TCP报文的首部格式窗口大小：窗口大小是指接收方缓存区可用空间的大小，单位是字节，TCP通过可变大小的窗口来进行流量控制。接收方使用窗口通知发送方自己的接收能力，而发送方据此确定发送窗口的大小。校验和（占16bit）：TCP可以对报文，包括首部和数据两部分进行校验和计算。选项（长度可变）：最大报文段长度是TCP中唯一的选项。该字段指明了接收端缓存区中所能接收的报文中最大的数据字段长度。UDP协议UDP与TCP最大的不同在于UDP是面向无连接的，不使用流量控制和差错控制。UDP提供的是不可靠的传输服务。由于UDP比TCP简单，因此开销小、效率高。应用层中的简单网络管理协议（SNMP）等都使用UDP。UDP报文格式UDP协议下面对UDP报文首部中的主要字段加以说明：源端口和目的端口：UDP的端口是指TCP和应用层服务的接口，通常源端口和目的端口各占16bit，不同的服务有不同的端口。长度：该项目指明了UDP报文的长度，通常占16bit。校验和：UDP可以对报文，包括首部和数据两部分进行校验和计算，通常该字段占据16bit。IP协议IP协议是属于网络层协议，其提供了无连接的数据报传输机制。IP协议主要是解决网络中地址的问题。IP协议的服务IP地址子网（Subnet）和子网掩码（Mask）IP协议的服务IP协议向传输层提供一种无连接的、不可靠的服务。正因为如此，数据交换前无须在发方和收方之间建立一条专用通信线路。发送方只需将数据通过网络接口传送到网络上，数据的传送路径根据网络当时的实际情况来选择，以站点接力的方式将数据传送到接收方。IP地址在连入Internet的计算机中，都必须拥有唯一的网内地址，以便相互识别，这个地址就称为IP地址。IP地址结构IP地址分类特殊IP地址IP地址结构目前，在Internet中使用的IP地址采用IPv4结构，它的层次是按照逻辑网络结构划分的。一个IP地址划分为网络地址和主机地址两个部分。网络地址标识着一个逻辑网络，而主机地址则标识该网络中的一台主机。IP地址结构Internet网络信息中心NIC统一分配IP地址，它负责分配最高级的IP地址，并授权下一级网络中心，使其在各自管辖的计算机网络系统中可以再次分配IP地址。IP地址分类IPv4结构的IP地址长度为4字节（32位）。IP地址的32位通常写成4个十进制的整数，每个整数对应一个字节。这种表示方法称为“点分十进制表示法”。根据网络地址和主机地址的不同划分，将IP地址划分为A、B、C、D、E5类。A、B、C是基本类，D、E类作为多目广播和保留使用。IP地址的分类IP地址分类A类IP地址：用前面8位来标识网络地址，其中规定最前面一位为0；而后面的24位标识主机地址，即A类地址的第一段取值（也即网络号）可以是00000001～01111111之间任意一个数字，转换为十进制后即为1～128之间。主机号没有做硬性规定，所以它的IP地址范围为～55。每个A类网络最多可以连接16777214台计算机，这类地址数是最少的，但所允许连接的计算机是最多的。A类地址适用于少数规模很大的网络。IP地址分类B类IP地址：用前面16位来标识网络地址，其中最前面两位规定为10；后面的16位标识主机号，也就是说B类地址的第一段10000000～10111111，转换成十进制后即为128～191之间，第一段和第二段合在一起表示网络地址，它的地址范围为～55。B类地址适用于中等规模的网络。IP地址分类C类IP地址：用前面24位来标识网络地址，其中最前面三位规定为110；而后面的8位标识主机号。这样C类地址的第一段取值为11000000～11011111之间，转换成十进制后即为192～223。第一段、第二段、第三段合在一起表示网络号，最后一段标识网络上的主机号，它的地址范围为～55。C类地址适用于小公司和研究机构等小规模的网络。IP地址分类D类IP地址：它用于多重广播组，一个多重广播组可能包括1台或更多主机，或根本没有。D类地址的最高位为1110，第一段取值为11100000～11101111，转换成十进制即为224～239，剩余的位设计客户机参加的特定组，它的地址范围为～55。IP地址分类E类IP地址：这是一个通常不用的实验性地址，保留作为以后使用。E类地址的最高位为11110，第一段八位体为11110000～11110111，转换成十进制即为240～247。它的地址范围为～55。特殊IP地址在IP地址中，保留和存在着许多有着特殊用途的IP地址。下面将进行简单的介绍。1）网络地址当一个IP地址的主机地址部分为0时，它表示一个网络地址。2）专用地址特殊IP地址有一些是专门用于一个机构进行内部通信的IP地址，称为专用地址或本地地址。这些地址的用途非常特殊，因此不能在Internet中进行相互通信。3）广播地址当一个IP地址的主机地址部分为1时，它表示一个广播地址。子网（Subnet）和子网掩码（Mask）

子网和子网掩码也是经常在网络中出现的术语，下面分别进行详细的讲解。什么是子网子网划分子网掩码什么是子网一个网络可能会有多个物理网段，通常把这些网段称为子网。子网把原有IP地址的主机地址空间再次划分为子网和主机两部分，这样IP地址结构则由网络地址、子网地址和主机地址3部分组成。什么是子网使用不同的网络号或子网号可以将一个网络划分成若干个子网。划分子网后的好处非常多，如通过划分子网，每个单位可以将复杂的物理网段连接成一个网络，并且可以完成下列功能：混合使用多种技术，例如以太网和令牌环网。克服当前技术的限制，例如突破每段主机的最大数量限制。通过重定向传输和减少广播等传输方式，减轻网络的拥挤。子网划分在划分子网前，要先分析网络的需求和网络规划。一般情况下应该遵循这样的准则：确定网络中的物理段数量，这样才能够更加合理地划分子网。根据需求定义整个网络的子网屏蔽码、每个子网唯一的子网号和每个子网的主机号范围，让用户在使用时更加方便。子网掩码确定网络需要的子网数量及每个子网的主机数，这是定义子网前必须做的工作。然后再根据此来确定需要从IP地址空间中截取多少个数据位作为子网地址。子网掩码是用来将网络划分成若干个子网时定义的子网屏蔽。

IP划分子网和构造超网

划分子网两级IP结构的局限： 第一，IP地址空间的利用率有时很低。 第二，给每一个物理网络分配一个网络号会使路由表变得太大，因而使网络性能变坏。 第三，两级的IP地址不够灵活。 解决这些问题的办法是，让网络内部可以分成多个部分，但对外却像一个单独网络一样。从1985年起在IP地址中就增加了一个“子网号字段”，使两级的IP地址变成三级的IP地址。这种做法叫做划分子网(subnetting)[RFC950]，或子网寻址或子网路由选择。

IP划分子网和构造超网 也可以使用跟前面类似的等式来表示三级IP地址： IP地址::={<网络号>,<子网号>,<主机号>} 下面通过一个B类地址和一个C类地址的子网划分来让大家了解子网是如何划分的。

IP划分子网和构造超网（1）B类地址的子网划分表6-1列出了B类地址的子网划分选择。

IP划分子网和构造超网

IP划分子网和构造超网B类地址的子网划分选择

IP划分子网和构造超网 注：上表的第2列是子网掩码，这个概念在讲完子网的划分方法后给大家详细介绍。 如果顺序分配的话，16个子网的子网地址如下表所示。

IP划分子网和构造超网

IP划分子网和构造超网B类地址169.12的子网划分

IP划分子网和构造超网

下表中显示了顺序分配的这4个子网的子网地址。总部子网的继续划分

IP划分子网和构造超网（2）C类地址的子网划分

C类地址的子网划分和B类地址的子网划分很相似，只不过可供选择的子网划分方式要少些，这是因为申请到的C类地址要比申请到的B类地址少8个可供支配的位数，例如C类地址217.19.56和B类地址169.12相比，前者从NIC申请到了32位IP中的24位，而后者只拿到了32位IP中的16位。显然，可供支配的IP位越多网络规模也就越大。

IP划分子网和构造超网 现在以这个C类地址217.19.56的子网划分为例，介绍一下C类地址的子网划分。使用4位的子网号，这个C类地址可以被划分成14（24-2）个子网，每个子网可以容纳14（24-2）台主机。划分情况显示在表中。

IP划分子网和构造超网

IP划分子网和构造超网C类地址的子网划分

IP划分子网和构造超网子网掩码 来看一下169.12的第一个子网169.12.8经过子网划分后各子网连接到Internet的通信。如图所示。

IP划分子网和构造超网将子网169.12.8继续划分子网，但对外仍是一个网络

IP划分子网和构造超网子网掩码。

IP划分子网和构造超网子网掩码的计算

IP划分子网和构造超网无分类编址CIDR 划分子网在一定程度上缓解了因特网在发展中遇到的困难。然而在1992年因特网仍然面临三个必须尽早解决的问题，这就是：

IP划分子网和构造超网（1）B类地址在1992年已分配了一半，眼看就要在1994年3月全部分配完毕！（2）因特网主干网上的路由表中的项目数急剧增长（从几千个增长到几万个）。（3）整个IPv4的地址空间最终将全部耗尽。

IP划分子网和构造超网 假定上述公司有5个部门，那在/22还可以进行地址块的划分。下表中列出了一种划分。

IP划分子网和构造超网CIDR地址块的划分

IP划分子网和构造超网2．最长前缀匹配 在使用CIDR时，由于采用了网络前缀这种记法，IP地址由网络前缀和主机号这两个部分组成，因此在路由表中的项目也要有相应的改变。这时，每个项目由“网络前缀”和“下一跳地址”组成。但是在查找路由表时可能会得到不止一个匹配结果。例如：

IP划分子网和构造超网目的IP地址是33（二进制形式：）而在路由表中有下面的两项：1100101010110010100*下一跳地址11100101010110010100011*下一跳地址2上面两项的掩码分别是：1111111111111111111000000000000011111111111111111111110000000000

IP划分子网和构造超网如果拿目的IP地址33同上面的两个掩码相“与”，结果都是匹配的：33和11111111111111111110000000000000逐比特相“与”=/1933和11111111111111111111110000000000逐比特相“与”=/22

IP划分子网和构造超网 这样就带来了一个问题：应当从这些匹配结果中选择哪一条路由呢？ 正确的答案是：应当从匹配结果中选择具有最长网络前缀的路由。这叫做最长前缀匹配。选择最长网络前缀的原因是网络前缀越长，其地址块就越小，因而路由就越具体。

IP划分子网和构造超网IPv6技术介绍IPv6简介IPv4的局限性：

1、IP地址枯竭；

2、NAT技术破坏了端到端应用模型；

3、地址配置与使用不够简便；

4、IPv4协议本身的安全性不足；

5、QoS功能难以满足显示要求。

IPv6的技术优势：

1、巨大的地址空间；

2、自动配置用户地址，提供即插即用功能；

3、提供更好的QoS；

4、内置的安全机制，如IPSec；

5、增强了对移动IP的支持。IPv6基础地址格式

1、首选格式：

IPv6地址表示为冒号分十六进制格式

例如：21DA:00D3:0000:0000:02AA:00FF:FE22:9C5A

2、压缩表示：

例如，上面的地址可表示为：21DA:D3::2AA:FF:FE22:9C5A

一个IPv6地址只允许使用一次“::”

3、内嵌IPv4地址的IPv6地址表示：

①

IPv4兼容IPv6地址例如：::

②IPv4映射IPv6地址例如：::FFFF:

地址前缀

IPv6地址的地址前缀同IPv4中的CIDR一样，依然使用“地址/前缀长度”表示，例如：2001:da8:0:2::/64

IPv6基础IPv6地址类型

IPv6基础IPv6地址类型

1、单播地址

只能分配给一个节点上的一个接口，即寻址到该单播地址的数据报文最终会被发送到一个唯一的接口。

2、组播（多播）地址

所谓组播，是指一个源节点发送的单个数据报文能被特定的多个目的节点接收到，路由器转发组播数据是根据组播路由协议学习到得拓扑结构进行的，适合于One-to-Many的通信场合。

在IPv6网络中，组播地址也由特定的前缀FF::/8来表示。

3、任播（泛播）地址

这是IPv6特有的地址类型，用来标示一组网络接口（通常属于不同的节点）。但与组播地址不同，路由器会将目的地址作为任播地址的数据报文，发给距本路由器最近的一个网络接口。适用于One-to-One-of-Many的通信场合。DHCPv6DHCPv6概述

在IPv6网络中，主机可以在没有DHCP服务器的情况下，通过无状态自动配置动态获得地址。但作为有状态地址自动配置的方式之一，DHCPv6仍然有着不可比拟的诸多优势。

当需要动态指定DNS服务器时；

当不希望MAC地址成为IPv6地址一部分时；

当需要良好的可扩展性时;

……

DHCPv6仍然是最好的选择！DHCPv6DHCPv6的交互过程

当服务器和客户端不在同一网段时，就需要使用DHCPv6中继代理。

对于服务器和客户端而言，中继代理的存在是透明的。

IPv6过渡技术IPv6除了能满足目前所有应用的地址需求，而且还有许多新的特点，使得它的普及只是个时间问题。但很明显，IPv6不可能一下子取代IPv4，只有IPv6慢慢的发展壮大，IPv4才会逐渐退出，这必然是一个缓慢的过程。IPv6协议与IPv4协议不兼容，因此IPv4和IPv6之间的互通成为了这个过程的关键，即IPv6孤岛的链接活着IPv4孤岛的链接。目前，成熟的技术主要有以下三种：

1、双协议栈（DualStack）

2、隧道技术（Tunnel）

3、网络地址转换协议NAT-PT（NetworkAddressTranslationTranslation）IPv6过渡技术双协议栈技术

指在设备上同时启用IPv4和IPv6协议栈，如下图：

双协议栈技术史IPv6过渡技术中应用最广泛的一种过渡技术，同时它也是所有其他过渡技术的基础。IPv6IPv4链路层TCP/UDPIPv6/IPv4应用层IPv6过渡技术隧道技术

IPv6隧道将IPv6报文封装在IPv4报文中，穿越IPv4网络进行通信，它要求隧道两端的网络设备能够支持双栈协议。

隧道技术不能实现IPv4主机与IPv6主机直接通信。IPv6HeaderIPv6DataIPv6HeaderIPv6DataIPv4HeaderIPv6HeaderIPv6DataIPv6过渡技术网络地址转换

带协议转换功能的网络地址转换器，通过修改协议报文头来转换网络地址，实现了只安装IPv6的主机和只安装IPv4的主机的相互通信。

IPv6HeaderIPv6DataIPv4HeaderIPv4DataIPv6安全IPv6的ACL

ACL（AccessControlList,访问控制列表）是用来实现流识别功能的。

ACL根据一系列的匹配条件对报文进行分类，这些条件可以使报文的源地址、目的地址、端口号等。网络设备可以使用ACL来实现网络中的数据报文过滤。IPv6

ACL的分类

IPv6

ACL根据序号来区分不同种类的ACL。IPv6ACL的匹配顺序

1、按配置顺序匹配

直接按照用户配置规则的先后顺序进行匹配。

2、按深度优先方式匹配

把指定报文地址范围最小的规则排在最前面。

IPv6安全IPSec

IPSec是IETF指定的三层隧道加密协议，它为Internet上传输的数据提供了高质量、客户操作、基于密码学的安全保证。

IPSec为IPv4的可选组件，而IPv6内嵌了IPSec，为通信双方提供了下述的安全服务：

①数据机密性（Confidentiality）

②数据完整性（DataIntegrity）

③数据来源认证（DataOriginAuthentication）

④防重放（Anti-Replay）

相比IPv4，IPv6中IPsec采用了全新的报文结构，增加了扩展头部。

IPv6安全ESP在IPv6中的封装

ESP传输模式封装

ESP隧道模式封装

ESP（EncapsulatingSecurityPayload）封装安全负载。

封装格式中的红色字体表示ESP的加密范围，可以看出ESP头。ESP可以用来保护TCP/UDP等上层协议数据，也可以保护整个IPv6报文。原始IPv6头逐跳选项头、路由头、分段头ESP目的地选项头TCP数据ESP尾ESPICV新IPv6头新扩展头ESP原始IPv6头原扩展头TCP数据ESP尾ESPICVIPv6安全AH在IPv6中的封装

AH（AuthenticationHeader，认证头协议）也提供了数据的完整性、数据源验证一集抗重放攻击的能力，但是不能用它来保证数据的机密性。这是因此，AH头比ESP简单的多。AH的验证范围与ESP有区别，范围包括整个IPv6数据报。

AH传输模式封装

AH隧道模式封装原始IPv6头扩展头AHTCP数据新IPv6头新扩展头AH原始IPv6原扩展头TCP数据域名系统大家都知道，IP地址是采用点分十进制表示的。由于数字过多，此种方式不便于用户进行记忆，也不能从客观反映出主机的相关信息。出于此种原因，Internet中采用了层次结构的域名系统（DNS，DomainNameSystem）来协助管理IP地址。域名的层次结构我国的域名结构域名解析和域名服务器域名的层次结构Internet域名具有一定的层次结构，其可以大致分为顶级域名（TOP-LEVEL）、二级域名（SECOND-LEVEL）、子域（SUB-DOMAIN）等。整个Internet网被划分成几个顶级域，顶级域名采用两种划分模式：组织模式和地理模式。组织模式的每个顶级域规定了一个通用的顶级域名。域名的层次结构层次结构也应用于Internet主机域名中，其从右至左依次为顶级域名、二级域名、三级域名……，各级域名之间用点“.”隔开。每一级域名由英文字母、符号和数字构成。Internet主机域名的一般格式为：三级域名.二级域名.顶级域名由于域名的设计往往和单位、组织的名称有联系，方便了人们通过域名来查找相关单位的网络地址。我国的域名结构在我国，cn作为顶级域名，这是由中国互联网信息中心（CNNIC）负责管理的。顶级域名cn按照组织模式和地理模式被划分为多个二级域名。对应于组织模式的包括com、edu、gov、net、org，对应于地理模式的是行政区代码。中国互联网信息中心（CNNIC）将二级域名的管理权授予下一级的管理部门进行管理。例如，CERNET网络中心拥有二级域名edu的管理权。域名解析和域名服务器使用域名是为了用户方便记忆，但在网络中传输数据时，网络设备仍然只识别IP地址。因此，在Internet上需要通过域名服务器将该域名映射为相对应的IP地址，这样才能够真正访问该主机，该过程称为域名解析。域名解析和域名服务器实现域名解析的硬件设备是域名服务器（DNS），它是一个安装有域名解析处理软件的主机，同时在Internet中拥有自己的IP地址。Internet中存在着大量的域名服务器，每台域名服务器中都设置了一个数据库，其中保存着它所负责区域内的主机域名和主机IP地址的对照表，这个对照表通常情况下是不能更改的。由于域名结构是有层次性的，因此形成一棵由域名服务器组成的逻辑树，每一个域名服务器需要知道根域名服务器和其父结点的名字。域名服务器的层次结构域名解析和域名服务器在Internet中，域名解析方式有递归解析和反复解析两种方式。在递归解析过程中，应用程序只需向本地域名服务器发送一次请求，域名服务器系统能够向根域名服务器发出查询请求，指导查找到相对应的IP地址，然后将查询结果按原路返回到应用程序中，一次性完成全部域名地址变换。域名解析和域名服务器反复解析过程中，当应用程序向本地域名服务器发送请求后，若在本地域名服务器上查找不到相应的IP地址时，它会将可能的授权域名服务器通知应用程序，此时应用程序需要向该授权域名服务器再次发送请求，如此反复，直到完成解析为止。常用网络命令Ping01Nbtstat02Netstat03Tracert04Net05At06Arp07IpConfig08计算机网络经典命令常用网络命令——ping一、什么是ping二、ping的工作流程三、ping命令常用参数详解四、ping的常见反馈信息五、主要用处常用网络命令——ping一、什么是pingPING(PacketInternetGrope)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。是DOS命令，一般用于检查网络是否通畅或者网络连接速度的命令，也叫时延，其值越大，速度越慢。同时某些病毒木马会强行大量远程执行ping命令抢占你的网络资源，导致系统变慢，网速变慢。

它所利用的原理：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。常用网络命令——ping二、PING的工作流程常用网络命令——ping三、PING命令常用参数详解-t表示将不间断向目标IP发送数据包，直到我们强迫其停止。用法：ping-t

-l定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。用法：ping[-llength]

-n定义向目标IP发送数据包的次数，默认为4次。用法：ping[-ncount]常用网络命令——ping四、PING的常见反馈信息Requesttimedout表示为对方拒绝接收你发给它的数据包造成数据包丢失。大多数的原因可能是对方装有防火墙或已下线，还有就是本机的IP不正确和网关设置错误。BadIPaddress表示没有连接到DNS服务器，所以无法解析这个IP地址，也可能是IP地址不存在。Unknownhost表示该远程主机的名字不能被域名服务器（DNS）转换成IP地址。故障原因可能是域名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。Sourcequenchreceived表示对方或中途的服务器繁忙无法回应。常用网络命令——ping五、主要用处1、用来检测网络是否通畅2、根据域名得到服务器IP3、根据ping返回的TTL值来判断对方所使用的操作系统计算机网络经典命令常用网络命令——nbtstat

一、概述及语法

二、nbtstat的基本参数三、常见的名称编号及其服务四、主要用处常用网络命令——nbtstat一、概述及语法（一）概述显示基于TCP/IP的NetBIOS(NetBT)协议统计资料、本地计算机和远程计算机的NetBIOS名称表和NetBIOS名称缓存。nbtstat可以刷新NetBIOS名称缓存和使用WindowsInternet名称服务(WINS)注册的名称。该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NetBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等（二）语法：nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]常用网络命令——nbtstat二、nbtstat的基本参数-a列出为其主机名提供的远程计算机名字表。-A列出为其IP地址提供的远程计算机名字表。-c列出包括了IP地址的远程名字高速缓存器。-n列出本地NetBIOS名字。-r列出通过广播和WINS解析的名字。-R消除和重新加载远程高速缓存器名字表。-S列出有目的地IP地址的会话表。-s列出会话表对话。常用网络命令——nbtstat常用网络命令——nbtstat编号服务三、常见的名称编号及其服务1、00U2、01U3、20U4、30U5、31U6、BEU7、BFU8、1BU9、1DU10、00G11、1CG12、1EG13、\\_MSBROWSE_01G1、工作站服务/Internet信息服务器2、邮件服务3、文件服务器服务4、调制解调器共享服务器服务5、调制解调器共享客户机服务6、网络监控代理7、网络监控应用8、域主浏览器9、主浏览器10、域名11、Internet信息服务器12、浏览器服务选择13、主浏览器常用网络命令——nbtstat四、主要用处在一定程度上断定有哪些服务正在目标机上运行，有时也能断定已经安装了哪些软件包。计算机网络经典命令常用网络命令——netstat

一、概述及语法

二、netstat的基本参数三、常见的状态列表

常用网络命令——netstat（一）、概述Netstat是DOS命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息.Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。（二）、语法：netstat[-a][-b][-e][-n][-o][-pproto][-r][-s][-v]一、概述及语法常用网络命令——netstat二、netstat的基本参数-a显示所有连接和监听端口。-b显示包含于创建每个连接或监听端口的可执行组件。-e显示以太网统计信息。-n以数字形式显示地址和端口号。-o显示与每个连接相关的所属进程ID。-s显示按协议统计信息。-r显示路由表。等价于命令routeprint-v与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件常用网络命令——netstat常用网络命令——netstat三、常见的状态列表LISTEN：在监听状态中。ESTABLISHED：已建立联机的联机情况。

TIME_WAIT：该联机在目前已经是等待的状态。计算机网络经典命令常用网络命令——tracert

一、概述及语法

二、tracert的基本参数三、解决的问题

常用网络命令——tracert（一）、概述Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。（二）、语法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name一、概述及语法常用网络命令——tracert二、tracert的基本参数-d指定不将IP地址解析到主机名称。-hmaximum_hops指定搜索目标的最大跃点数。-wtimeout每次应答等待timeout指定的微秒数。target_name目标计算机的名称常用网络命令——tracert三、解决的问题确定数据包在网络上的停止位置每个跃点所需的时间跟踪数据报使用的路由（路径）计算机网络经典命令常用网络命令——net

常用网络命令——net一、netview作用：显示域列表、计算机列表或指定计算机的共享资源列表。命令格式：netview[\computername|/domain[:domainname]]参数介绍：(1)键入不带参数的netview显示当前域的计算机列表。(2)\computername指定要查看其共享资源的计算机。(3)/domain[:domainname]指定要查看其可用计算机的域。常用网络命令——net常用网络命令——net常用网络命令——net二、netuse作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

命令格式：netuse\\IP\IPC$"password"/user:"name"

参数介绍：键入不带参数的netuse列出网络连接。password访问共享资源的密码。user指定进行连接的另外一个用户。name指定登录的用户名。常用网络命令——net常用网络命令——net三、netuser作用：添加或更改用户帐号或显示用户帐号信息。也可写netusers。命令格式：netuser[username[password|*][options]][/domain]参数介绍：(1)键入不带参数的netuser查看计算机上的用户帐号列表。(2)username添加、删除、更改或查看用户帐号名。(3)password为用户帐号分配或更改密码。(4)*提示输入密码。(5)/domain在计算机主域的主域控制器中执行操作。常用网络命令——net常用网络命令——net四、nettime作用：使计算机的时钟与另一台计算机或域的时间同步。命令格式：nettime[\computername|/domain[:name]][/set]