TCPIP数据链路层协议分析

TCPIP数据链路层协议分析TCPIP协议栈分为四层，从下往上依次为网络接口层、网际层、传输层和应用层，而网络接口层没有专门的协议，而是使用连接在Internet网上的各通信子网本身所固有的协议。如以太网（Ethernet）的802.3协议、令牌环网（TokenRing）的802.5协议、分组交换网的X.25协议等。目前Ethernet网得到了广泛的应用，它几乎成为局域网代名词。因此，这一部分将对以太网链路层的帧格式和802.1Q帧格式进行分析验证，使学生初步了解TCP/IP链路层的主要协议以及这些协议的主要用途和帧结构。3.1以太网链路层帧格式分析实验1．以太网简介IEEE802参考模型把数据链路层分为逻辑链路控制子层（LLC，LogicalLinkControl）和介质访问控制子层（MAC，MediaAccessControl）。与各种传输介质有关的控制问题都放在MAC层中，而与传输介质无关的问题都放在LLC层。因此，局域网对LLC子层是透明的，只有具体到MAC子层才能发现所连接的是什么标准的局域网。IEEE802.3是一种基带总线局域网，最初是由美国施乐（Xerox）于1975年研制成功的，并以曾经在历史上表示传播电磁波的以太（Ether）来命名。1981年，施乐公司、数字设备公司（Digital）和英特尔（Intel）联合提出了以太网的规约。1982年修改为第二版，即DIXEthernetV2，成为世界上第一个局域网产品的规范。这个标准后来成为IEEE802.3标准的基础。在802.3中使用1坚持的CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection）协议。现在流行的以太网的MAC子层的帧结构有两种标准，一种是802.3标准，另一种是DIXEthernetV2标准。图14802.3和EthernetV2MAC帧结构图14画出了两种标准的MAC帧结构。它们都是由五个字段组成。MAC帧的前两个字段分别是目的地址字段和源地址字段，长度是2或6字节。但在IEEE802.3标准规定对10Mb/s的基带以太网则使用6字节的地址字段。两种标准的主要区别在于第三个字段（2字节）。在802.3标准中，这个字段是长度字段，它指后面的数据字段的字节数，数据字段就是LLC子层交下来的LLC帧，其最小长度46字节，最大长度1500字节。在EthernetV2标准中，这个字段是类型字段，它指出LLC层使用的协议类型。由于数据字段的最大长度为1500字节，因此，以太网V2标准中将各种协议的代码规定为大于1500的数值，这样就不至于发生误解，并借此实现兼容。最后一个字段是一个长度为4字节的帧校验序列FCS，它对前四个字段进行循环冗余（CRC）校验。为了使发送方和接收方同步，MAC帧在总线上传输时还需要增加7个字节的前同步码字段和1字节的起始定界符（它们是由硬件生成的），其中前同步码是1和0的交替序列，供接收方进行比特同步之用；紧跟在前同步码之后的起始定界符为10101011，接收方一旦接收到两个连续的1后，就知道后面的信息就是MAC帧了。需要注意的是前同步码、起始定界符和MAC帧中的FCS字段在网卡接收MAC帧时已经被取消，因此，在截获的数据报中看不到这些字段。注意：由于802.3标准在MAC帧中封装802.2帧，相比EthernetV2增加了8个字节的开销，而且实践表明，这样做过于繁琐，使得其在实际中很少得到使用。因此，本节实验中重点分析EthernetV2MAC帧格式，802.3MAC帧不作具体讨论。2．实验环境与说明（1）实验目的了解EthernetV2标准规定的MAC帧结构，初步了解TCP/IP的主要协议和协议的层次结构。（2）实验设备和连接实验设备和连接图如图15所示，一台锐捷S2126G交换机连接了2台PC机，分别命名为PC1、PC2，交换机命名为Switch。图15Ethernet链路层帧结构实验连接图（3）实验分组每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。3．实验步骤步骤1：按照如图15所示连接好设备，配置PC1和PC2的IP地址；（编者注：实验室中任何一台PC都可以作为模型中的PC1或PC2。）步骤2：在：PC1和PC2上运行Ethereal截获报文，为了只截获和实验内容有关的报文，将Ethereal的CaptrueFilter设置为“NoBroadcastandnoMulticast”；步骤3：在：PC1的“运行”对话框中输入命令“Ping172.16.1.102”，单击“确定”按钮；步骤4：停止截获报文：将结果保存为MAC-学号，并对截获的报文进行分析：1）列出截获的报文中的协议类型，观察这些协议之间的关系。________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________2）在网络课程学习中，EthernetV2规定以太网的MAC层的报文格式分为7字节的前导符、1字节的帧首定界、6字节的目的MAC地址、6字节的源MAC地址、2字节的类型、46～1500字节的数据字段和4字节的帧尾校验字段。分析一个EthernetV2帧，查看这个帧由几部分组成，缺少了哪几部分？为什么？________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________步骤5：在：PC1和PC2上运行Ethereal截获报文，然后进入PC1的Windows命令行窗口，执行如下命令：netsend172.16.1.102Hello这是PC1向PC2发送消息的命令，等到PC2显示器上显示收到消息后，终止截获报文。注意PC1和PC2的信使服务应启动。找到发送消息的报文并进行分析，查看主窗口中数据报文列表窗口和协议树窗口信息，填写下表：表1报文分析此报文类型此报文的基本信息（数据报文列表窗口中的Information项的内容）EthernetII协议树中Source字段值Destination字段值InternetProtocol协议树中Source字段值Destination字段值UserDatagramProtocol协议树中Source字段值Destination字段值应用层协议树协议名称包含Hello的字段值3.2VLAN802.1Q帧格式分析实验1．IEEE802.1Q介绍我们知道VLAN具有控制网络广播、提高网络性能；分隔网段、确保网络安全；简化网络管理、提高组网灵活性的功能。VLAN划分的方法有很多种，其中基于端口的静态VLAN是划分虚拟局域网最简单也是最有效的方法。基于端口的VLAN（PortVLAN）将交换机按照端口的VLANID指定实现了逻辑划分，广播域被限定在相同VLAN的端口集合中，不同VLAN间不能直接通信。当使用多台交换机分别配置VLAN后，可以使用Trunk（干道）方式实现跨交换机的VLAN内部连通，交换机的Trunk端口不隶属于某个VLAN，而是可以承载所有VLAN的帧。这种实现跨交换机的VLAN技术在早期使用帧过滤，而目前的国际标准规定采用帧标记。跨交换机的VLAN实现使得网络管理的逻辑结构可以完全不受实际物理连接的限制，极大地提高了组网的灵活性。1996年3月，IEEE802.1InternetWorking委员会结束了对VLAN初期标准的修订工作，统一了Frame-Tagging（帧标记）方式中不同厂商的标签格式，制定IEEE802.1QVLAN标准，进一步完善了VLAN的体系结构。如图16所示，IEEE802.1Q使用4Byte的标记头来定义Tag（标记）。Tag头中包括2Byte的VPID（VLANProtocolIdentifier）和2Byte的VCI（VLANControlInformation）。图16802.1Q帧格式其中：*VPID为0X8100，标识该数据帧承载IEEE802.1Q的Tag信息；*VCI包含组件：*3bits用户优先级；*1bitsCFT（CanonicalFormatIndicator），默认值为0（表示以太网）；*12bits的VID（VLANIdentifier），VLAN标识符；注意：交换机可以配置的VLAN数量因设备而异，实验室的S2126/S3550/S3760最多支持250个VLAN（VLANID：1～4094），其中VLAN1是不可删除的默认VLAN（设备管理）。图16比较了以太网帧格式和802.1Q帧格式，注意802.1Q帧中的FCS为加入802.1Q帧标记后重新利用CRC校验后的检测序列。IEEE802.1Q协议使跨交换机的相同VLAN端口间通信成为可能。基于802.1QTagVLAN用VID来划分不同VLAN，当数据帧通过交换机的时候，交换机根据帧中Tag头的VID信息来识别它们所在的VLAN（若帧中无Tag头，则应用帧所通过端口的默认VID来识别它们所在的VLAN。这使得所有属于该VLAN的数据帧，不管是单播帧、组播帧还是广播帧，都将被限制在该逻辑VLAN中传输。图17TagVLAN内通信如图17所示，两台S2126交换机分别划分出VLAN1和VLAN2，分别设置级联口为Trunk模式。PC1和PC3属于VLAN1，PC2和PC4属于VLAN2。PC2和PC4通信必须跨两台交换机。当PC2发出数据时，在没有进入交换机端口之间，数据帧头部并没有被加入Tag标识，是标准的以太帧格式；当数据帧进入交换机端口后，数据头部首先被加入该端口所属的VID，这时交换机就按照目的地址转发，在VID=2的广播域中传送该帧。但第一台交换机并没有直接连接PC4，因此数据只能发往通向潜在PC4连接的级联端口，该口是Taged口，当数据从Taged端口转发时，即加入Tag标识（VID＝2），使用802.1Q的封装格式；第二台交换机在由级联口接收时可以根据Tag标识而将该帧在VLAN2上广播出去，根据MAC地址连接PC4的端口就会收到该数据帧；该端口将去掉Tag标识后，转发数据帧至PC4。由此就实现了跨交换机的VLAN内通信，同理，PC1和PC3之间也可以实现数据通信。2．镜像在图17中，IEEE802.1Q帧在交换机的Taged端口之间，PC机使用以太帧，在PC机上运行的Ethereal是无法捕获IEEE802.1Q数据帧的。为了抓到和分析IEEE802.1Q数据帧，我们在实验中可以通过镜像的手段来捕获IEEE802.1Q数据帧。在网络维护和故障排除的过程中，我们首先会根据已有的网络现象进行故障分析和判断，但如果掌握的信息不足，或者是网络需要进一步监控时，镜像就成为一种重要的数据监控方法。镜像分为两种：一种是端口镜像，另一种是流镜像。端口镜像是指将某些指定端口（出或入方向）的数据流量映射到监控端口，以便集中使用数据捕获软件进行数据分析。流镜像则是指按照一定的数据流分类规则对数据进行镜像，然后将属于指定流的所有数据映射到监控端口，以便进行数据分析。在锐捷S2126/S3550交换机上配置镜像的命令为：monitorsession。monitorsession用于创建一个SPAN会话并指定目的端口（监控口）和源端口（被监控口）。使用该命令的no选项删除会话或者单独删除源端口或目的端口。其格式如下：monitorsessionsession_number{sourceinterfaceinterface-id[,|-][both|rx|tx]|destinationinterfaceinterface-id}nomonitorsessionsession_number[sourceinterfaceinterface-id[,|-][both|rx|tx]|destinationinterfaceinterface-id]有关格式要求参见表2所示。表2monitorsession的语法描述下面这个例子说明了如何创建一个SPAN会话：会话1。如果原先已经设置过该会话，请首先将当前会话1的配置清除掉，然后设置端口1的帧映射到端口8。Switch(config)#nomonitorsession1Switch(config)#monitorsession1sourceinterfacefastEthernet1/1bothSwitch(config)#monitorsession1destinationinterfacefastEthernet1/83．实验环境与说明（1）实验目的了解IEEE802.1Q标准规定的帧结构，了解VLAN帧标记的方法。（2）实验设备和连接实验设备和连接图如图18所示，一台锐捷S2126G交换机连接一台S3550，S2126同时连接了2台PC机，分别命名为PC1、PC2。图18802.1Q帧格式分析实验连接图（3）实验分组每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。4．实验步骤步骤1：按照如图18所示连接好设备；步骤2：完成交换机S3550和S2126的相关配置，要求如下：*在S2126和S3550上创建VLAN10和VLAN20；*将S2126的F0/1指定为VLAN10，F0/2指定为VLAN20；*通过三层交换机S3550实现PC1和PC2的连通；*通过端口镜像，使得PC3可以监控S2126的F0/4。关于交换机VLAN和SVI的配置由于在第三章实验中已经做过，这里不再重复。为保证实验的顺利，同学可以参考下面的配置：①S2126的配置的配置：：Switch(config)#hostnameS2126！配置设备名为S2126S2126(config)#vlan10！启用Vlan10S2126(config-vlan)#nameTest10S2126(config-vlan)#exitS2126(config)#vlan20!启用Vlan20S2126(config-vlan)#nameTest20S2126(config-vlan)#exitS2126(config)#interfacefastEthernet0/1S2126(config-if)#switchportaccessvlan10！指定F0/1端口为Vlan10S2126(config-if)#interfacefastEthernet0/2S2126(config-if)#switchportaccessvlan20！指定F0/2端口为Vlan10S2126(config-if)#interfacefastEthernet0/4S2126(config-if)#switchportmodetrunk！配置F0/4为Tagged端口S2126(config-if)#exitS2126(config)#monitorsession1sourceinterfacefastEthernet0/4both!镜像源端口S2126(config)#monitorsession1destinationinterfacefastEthernet0/3!镜像目的端口S2126(config)#end②S3550的配置的配置：：Switch(config)#hostnameS3550！配置设备名为S3550S3550(config)#vlan10！启用Vlan10S3550(config-vlan)#nameTest10S3550(config-vlan)#exitS3550(config)#vlan20！启用Vlan20S3550(config-vlan)#nameTest20S3550(config-vlan)#exitS3550(config)#interfacefastEthernet0/4S3550(config-if)#switchportmodetrunk！配置F0/4为Tagged端口S3550(config-if)#exitS3550(config)#interfacevlan10！配置SVI端口S3550(config-if)#ipaddress172.16.10.1255.255.255.0S3550(config-if)#noshutdownS3550(config-if)#exitS3550(config)#interfacevlan20！配置SVI端口S3550(config-if)#ipaddress172.16.20.1255.255.255.0S3550(config-if)#noshutdownS3550(config-if)#end③PC1和和PC2的配置的配置：：按照下表要求配置PC1和PC2。表3PC1和PC2的TCP/IP属性PC1PC2IP地址