计算机网络实验五网络层协议分析实验报告

南昌航空大学实验报告年月日课程名称：计算机网络与通信实验名称：网络层协议分析班级：学生姓名：邓佳威学号：2212893107指导教师评定：签名：一、实验目的分析ARP协议报文首部格式及其解析过程；分析ICMP报文格式和协议内容并了解其应用；分析IP报文格式、IP地址的分类和IP层的路由功能；分析TCP/IP协议中网络层的分片过程。二、实验内容（一）ARP协议分析1.实验原理（1）ARP协议ARP（addressresolutionprotocol）是地址解析协议的简称，在实际通信中，物理网络使用硬件地址进行报文传输，IP地址不能被物理网络所识别。所以必须建立两种地址的映射关系，这一过程称为地址解析。用于将IP地址解析成硬件地址的协议就被称为地址解析协议（ARP协议）。ARP是动态协议，就是说这个过程是自动完成的。在每台使用ARP的主机中，都保留了一个专用的内存区（称为缓存），存放最近的IP地址与硬件地址的对应关系。一旦收到ARP应答，主机就将获得的IP地址和硬件地址的对应关系存到缓存中。当发送报文时，首先去缓存中查找相应的项，如果找到相应项后，遍将报文直接发送出去；如果找不到，在利用ARP进行解析。ARP缓存信息在一定时间内有效，过期不更新就会被删除。（2）同一网段的ARP解析过程处在同一网段或不同网段的主机进行通信时，利用ARP协议进行地址解析的过程不同。在同一网段内通信时，如果在ARP缓存中查找不到对方主机的硬件地址，则源主机直接发送ARP请求报文，目的主机对此请求报文作出应答即可。（3）不同网段的ARP解析过程位于不同网段的主机进行通信时，源主机只需将报文发送给它的默认网关，即只需查找或解析自己的默认网关地址即可。（二）ICMP协议分析1.实验原理（1）ICMP协议ICMP（internetcontrolmessageprotocol）是因特网控制报文协议[RFC792]的缩写，是因特网的标准协议。ICMP允许路由器或主机报告差错情况和提供有关信息，用以调试、监视网络。在网络中，ICMP报文将作为IP层数据层的数据，封装在IP数据报文中进行传输。但ICMP并不是高层协议，而仍被视为网络层协议。（2）ICMP报文的格式由于ICMP报文的类型很多，且各自又有各自的代码，因此，ICMP并没有一个统一的报文格式以供全部ICMP信息使用。不同的ICMP类别分别有不同的报文字段。ICMP报文只是在前4个有统一的格式，共有类型、代码和效验和3个字段。接着的4个字节的内容与ICMP报文的类型有关。再后面的数据字段的长度取决与ICMP报文的类型。其中类型字段表示ICMP报文的类型，代码字段是为了进一步区分某种类型的几种不同情况，效验和字段用来检验整个ICMP报文。（3）ICMP报文的分类ICMP报文的种类可以分为ICMP差错报告报文和ICMP询问报文两种，它们各自对应的报文类型及代码如表。ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可达4源站抑制（sourcequench）11时间超过12参数问题5路由重定向（redirect）询问报文8或0回送（echo）请求或应答13或14时间戳（timestamp）请求或应答17或18地址掩码（addressmask）请求或应答10或9路由器询问（routersolicitation）或通告ICMP差错报告报文主要有终点不可达、源站抑制、超时、参数问题和路由重定向5种。实验中主要涉及终点不可达和超时2种。其中终点不可达报文中需要区分的不同情况较多，对应的代码列表如下：代码描述处理方法代码描述处理方法0网络不可达无路由到达主机8源主机被隔离（做废不用）无路由到达主机1主机不可达无路由到达主机9目的网络被强制禁止无路由到达主机2协议不可达连接被拒绝10目的主机被强制禁止无路由到达主机3端口不可达报文太长11由于服务类型TOS，网络不可达无路由到达主机4需要进行分片但设置了不分片位无路由到达主机12由于服务类型TOS，主机不可达无路由到达主机5源站选路失败无路由到达主机13由于过滤，通信被强制禁止（忽略）6目的网络不认识无路由到达主机14主机越权（忽略）7目的主机不认识无路由到达主机15优先权终止生效（忽略）其中较为常见的是前5种。ICMP询问报文有回送请求和应答、时间戳请求和应答、地址掩码请求和应答以及路由器询问和通告4种。ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出询问，受到次报文的机器必须给源主机发送ICMP回送应答报文，ping命令就是基于它的一个广泛而重要的应用。ICMP时间戳请求报文是请某个主机或路由器应答当前的日期和时间。可用来进行时钟同步和测量时间。主机使用ICMP地址掩码请求报文可从子网掩码服务器得到某个接口的地址掩码。（三）IP协议分析1.实验原理（1）IP报文格式IP数据报由首部和数据两部分组成。首部又分为两部分，前一部分是固定长度的，必不可少，共20字节；后一部分是一些可选字段，长度可变。（2）IP地址的编址方法IP地址是给每个连接在因特网上的主机分配一个全球范围内唯一的32位标识符。IP地址的编址方法共经历过三个阶段。首先，第一阶段是分类的IP地址，这是一种基于分类的两级IP地址编址方法。IP地址被分为“网络号”+“主机号”。IP地址空间的利用率较低、路由表变得太大以及两级的IP地址不够等原因导致了地址掩码的引入，进入了划分子网的第二阶段，采用“网络号”+“子网号”+“主机号”的三级IP地址编址方法；然后，根据第二阶段的问题，提出了无分类域间路由选择CIDR的第三阶段编址方法。IP地址采用“网络前缀”+“主机号”的编址方式。目前CIDR是应用最广泛的编址方法，它消除了传统的A类、B类、C类地址和划分子网的概念，提高了IP地址资源的利用率，并使得路由聚合的实现成为可能。（3）IP层的路由分析数据报文在网络中的传输主要分为主机发送和路由器转发两种。主机发送数据报的方式有：直接交付和间接交付。首先，主机将待发送数据报的目的地址同自己的子网掩码进行逐位相“与”；然后判断运算结果是否等于其所在的网络地址，是则将数据报直接交付到本网络；否则，发往下一跳路由器（一般为主机的默认网关）。路由器转发数据报的算法一般是：①从收到数据报的首部提取目的IP地址D。②先判断是否为直接交付。对与路由器直接相连的网络逐个进行检查：各网络的子网掩码和D逐位相“与”，看结果是否和相应的网络地址匹配。若匹配，则将分组进行直接交付（需要将D转换为物理地址，将数据报封装成帧发送出去），转发任务结束。否则就是间接交付，执行③。③若路由表中有目的地址为D的待定主机路由，则将数据报传送给路由表中所指明的下一个跳路由器；否则，执行④。④对路由表中的每一行（目的网络地址，子网掩码，下一跳地址），将其中的子网掩码和D逐位相“与”，其结果为N。若N与该行的目的网络地址匹配，则将数据报传送给该行指明的下一跳路由器；否则，执行⑤。⑤若路由表中有一个默认路由，则将数据报传送给路由器中所指明的默认路由器；负责，执行⑥。⑥报告转发分组出错。因此，网络中不同网段之间的数据报文进行传输时，必须通过路由来完成。路由就是控制报文进行转发的路径信息。每一台网络层设备（比如三层交换机、路由器）都存储着一张关于路由信息的表格，称为路由表。数据报文到达网络层设备之后，根据其目的IP地址查找路由表确定报文传输的最佳路径（下一跳）。然后利用网络层的协议封装数据报文，利用下层提供的服务把数据报文转发出去。而路由表的生成可以分为静态配置和动态生成两种，对应的路由协议也有静态路由协议和动态路由协议。这部分内容将在下一章详细介绍。（四）网络层分片实验1.实验原理分片就是在数据包从一个MTU较大的网络传输到MTU较小的网络过程中，将一个较大的数据包分为几个较小的数据包来传输。在以太网路由器的设计中，ping命令的数据包数据部分大小范围从46字节到1500字节。这里可以设置ping的数据部分长度为15000字节。因为以太网的缺省MTU为1500字节。因此在使用此ping命令时，15000字节的数据分11片进行传输。三、实验过程及结果1、ARP协议分析步骤1自己与旁边的机器分别设为PCA和PCB。。步骤2在PCA、PCB的命令行窗口中执行以下命令： C：\>arp–a 结果是：如果APR缓存非空，可以执行arp–d命令，清空ARP缓存。步骤3运行PCA、PCB上的WireShark，开始截获数据报文,，并在显示过滤器中设置ip.addr==PCB||arp；在PCA的命令行窗口中执行pingPCB命令。执行完之后，停止PCA、PCB上的WireShark报文截获，将此次结果命名为ping1。步骤4在PCA、PCB的命令行窗口中执行以下命令： C:\>arp–a 结果是：步骤5重复步骤3。将此次结果命名为ping2。步骤6分析文件ping1，完成下列工作：（1）统计“protocol”字段填空：有__________个ARP报文。答:2个（2）在所有报文中，ARP报文中APR协议树的opcode字段有两个取值1、2，两个取值分别表达什么信息？答：Request(0*0001)reply(0*0002)（3）选中第一条ARP请求报文和第一条ARP应答报文，将APR请求报文和ARP应答报文中的字段信息填入表中。字段项ARP请求数据报文ARP应答数据报文链路层Destination项e4:a4:71:c1:41:b11c:da:27:41:20:36链路层Source项1c:da:27:41:20:36e4:a4:71:c1:41:b1网络层SenderMACAddress1c:da:27:41:20:36e4:a4:71:c1:41:b1网络层SenderIPAddress192.168.43.1192.168.43.78网络层TargetMACAddress00:00:00:00:00:001c:da:27:41:20:36网络层TargetIPAddress192.168.43.78192.168.43.1步骤7分析文件ping2，完成下列工作：（1）比较文件ping1中截获的报文信息，少了什么报文？简述ARPcache的作用。答：少了ARP报文。ARPcache作用：ARP高速缓存是动态的，每当发生一个指定地点的数据报且高速缓存不存在当前项目时，ARP便会自动添加该项目。计算机进行路由选择时首先在ARP高速缓存中查找，如果没有找到，再通过广播请求消息来查找。（2）写出ARP协议在同一网段内的解析过程。答：1、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表2、如果存在该IP-MAC对应关系，那么就；如果不存在该IP-MAC对应关系，那么就接着按ping命令本来的步骤做下去，即用icmp协议。3、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址4、当192.168.2.135主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址5、本地获得192.168.2.135主机的IP-MAC地址对应关系，并保存到ARP缓存中6、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去2、ICMP协议分析（1）ICMP询问报文分析步骤1配置同上。步骤2在PCA和PCB上运行WireShark进行报文截获，然后执行PCApingPCB，分析截获的ICMP报文。共有____个ICMP报文，分别属于那些种类？对应的种类和代码字段分别是什么？答：共有24个ICMP报文，12个请求报文，12个回复报文，请求报文种类为（Echo(ping)request）,代码段数据为0；回复报文种类为（Echo(ping)reply），代码段数据为0请分析报文总的那些字段保证了回送请求报文和回送应答报文的一一对应？答：网络层的Source和Destination保证了回送请求报文和回送应答报文的一一对应分析截获报文并填写表：地址掩码请求报文地址掩码应答报文ICMP字段字段值ICMP字段字段值Type8(Echo(ping)request)Type0（Echo(ping)reply）Code0Code0Checksum0x4d54(correct)Checksun0x555aIdentifier(BE)1(0x0001)Identifier(BE)1(0x0001)Identifier(LE)256(0x0100)Identifier(LE)256(0x0100)Sequencenumber(BE)7(0x0007)Sequencenumber(BE)7(0x0007)Sequencenumber(BE)1792(0x0700)Sequencenumber(LE)1792(0x0700)（2）ICMP差错报文分析步骤3在PCA和PCB上运行WireShark进行报文截获，然后在PCA上执行ping192.168.6.230和ping192.155.1.1，分析PCA和PCB截获的ICMP报文。请比较这两种情况有何不同答:因为ping的IP地址都和PCA不是同一网段的，所有PCA都会将报文发送给默认网关。第一张情况，192.168.6.230在默认路由的默认端口的子网内，所有会发送报文至默认端口，而在第二种情况，192.155.1.1不在上述路由表内，所有认为不可达，从而回复Destinationunreachable。截获了哪种ICMP报文？其类型和代码字段值是什么？此报文的ICMP协议部分又分为了几部分？其作用是什么？答：终点不可达差错报文，类型字段为3（Destinationunreachable）。此报文的ICMP协议部分又包括Code为0表示网络不可达。即无路由到主机，封装的源Echo请求ICMP报文的IP层和ICMP层表示该差错报文来源于一个本主机到ping192.155.1.1的Echo请求。步骤4取消PCA上的DNS配置，在PCA和PCB上运行WireShark进行报文截获，然后在PCA上执行tracert10.1.3.10，将PCA上截获的命名为tracert1，并进行分析。注意：为了便于分析，避免截获报文太多太杂，建议首先取消PCA上的DNS配置。结合报文内容，简述tracert的工作过程。答：PCA运行tracert向目的地址PCB发送具有不同生存时间（TTL）的ICMPEcho请求报文，在PCA到PCB路径上的每个路由器都要在转发该ICMP报文时将其TTL值减1。当TTL值减为0时，路由器就向源主机PCA发送ICMP超时差错报文。而PCA通过向PCB发送TTL为1，2，…,n的Echo报文就可以获得从PCA到PCB的所有路径信息。截获了哪种ICMP差错报文？其类型和代码字段值是什么？答：截获了超时报文。其类型有Type：11（Time-to-liveexceeded）；Code：0（Timetoliveexceededintransit）。3.IP协议分析步骤1在上一节实验步骤4的基础上，用WireShark软件打开文件tracert-学号，分析IP协议报文。 （1）分析第1个ICMP报文的IP协议部分。 （2）tracert命令用到了网络层的那些协议和哪些字段？答：网络层”与ICMP并列的还有IGMP、IP、ARP等，其中除IP

协议是用于传输数据的以外，其它基本上都是用于控制的协议。Tracert程序先发出3个TTL初值=1的ICMP数据报，然后是3个2、3个3，

依次类推，这样就能得到一连串与自己相距1个、2个、3个……位置的

路由器的回送数据报，从而描绘出沿途经过的所有路由器，

直到目的主机/路由器为止。步骤2将PCA上的子网掩码配置为：255.255.0.0，在PCA和PCB上运行WireShark进行报文截获，然后执行PCApingPCB。观察PCA和PCB能否ping通？结合截获报文分析原因。答：不能PING通。在报文中的ARP协议中有“WHOHASPCBTELLPCA”，是以BROADCAST形式发出的，之后有一个ICMP协议报文回应“DESTINATION

UNREACHABLE”，即找不到PCB，故说明PING不通。步骤3将PCA上的子网掩码恢复为255.255.255.0。查看路由表信息，执行命令 C:>netstat-r 将结果填入表中：DestinationNetmaskGatewayInterface10.85.32.0255.255.240.0在链路上10.85.32.21010.85.33.210255.255.255.255在链路上10.85.32.21010.85.47.255255.255.255.255在链路上10.85.32.210127.0.0.0255.0.0.0在链路上127.0.0.1127.0.0.1255.255.255.255在链路上127.0.0.1127.255.255