《TCPIP协议及其应用》由会员分享,可在线阅读,更多相关《TCPIP协议及其应用(45页珍藏版)》请在金锄头文库上搜索。
1、TCP/IPTCP/IP协议及其应用协议及其应用第第1章章 TCP/IP协议基础协议基础网络通信协议网络通信协议管理管理TCP/IPTCP/IP的组织机构的组织机构RFCRFCOSIOSI参考模型参考模型TCP/IPTCP/IP协议簇协议簇TCP/IPTCP/IP封装与分用封装与分用协议分析协议分析WiresharkWireshark学学 习习 要要 点点1.1 1.1 网络通信协议与网络通信协议与TCP/IPTCP/IP(P1P1)1.1.1 1.1.1 网络通信协议网络通信协议(P1P1)v网络协议是网络中通信双方共同遵守的规则和约网络协议是网络中通信双方共同遵守的规则和约定,对信息传输的
2、速率、代码结构、传输控制、定,对信息传输的速率、代码结构、传输控制、差错控制等作出规定。差错控制等作出规定。v协议由以下协议由以下3 3部分组成:部分组成:语义(语义(SemanticsSemantics):规定双方完成通信需要):规定双方完成通信需要的控制信息及应执行的动作。的控制信息及应执行的动作。语法(语法(SyntaxSyntax):规定通信双方交换的数据或):规定通信双方交换的数据或控制信息的格式和结构。控制信息的格式和结构。时序(时序(TimingTiming):规定通信双方彼此的应答关):规定通信双方彼此的应答关系,包括速度的匹配和顺序。系,包括速度的匹配和顺序。1.1.2 1.
3、1.2 TCP/IPTCP/IP协议协议(P2P2)TCP/IPTCP/IP协议是目前最完整的、协议是目前最完整的、被全世界普遍接受的被全世界普遍接受的通信协议标准,解决了异形机的互连及异构网的互通信协议标准,解决了异形机的互连及异构网的互连问题。连问题。TCP/IPTCP/IP协议以套件的形式推出协议以套件的形式推出,称为,称为TCP/IPTCP/IP协议簇,协议簇,包含一组相互配合的协议,包含一组相互配合的协议,TCPTCP和和IPIP只是其中最重要只是其中最重要的两个协议。的两个协议。TCP/IPTCP/IP协议只是习惯叫法,更专业的叫法是协议只是习惯叫法,更专业的叫法是Internet
4、Internet协议,是当前协议,是当前InternetInternet事实上的国际标准。事实上的国际标准。1.1.3 1.1.3 管理管理TCP/IPTCP/IP的组织机构的组织机构(P2P2)vInternetInternet不为任何国家和政府所拥有,不为任何国家和政府所拥有, InternetInternet的管理和标准化由相关的非盈利组织机构承担。的管理和标准化由相关的非盈利组织机构承担。v相关的组织机构有:相关的组织机构有:ISOC(Internet Society)ISOC(Internet Society),InternetInternet协会是所有各种协会是所有各种Intern
5、etInternet委员会和任务组的上级机构。委员会和任务组的上级机构。IAB(Internet Architecture Board),InternetIAB(Internet Architecture Board),Internet体系结构体系结构委员会,是委员会,是ISOCISOC的技术顾问。的技术顾问。IETF(Internet Engineering Task Force),InternetIETF(Internet Engineering Task Force),Internet工程工程任务组,负责制定草案、测试、提出建议以及维护任务组,负责制定草案、测试、提出建议以及维护Inte
6、rnetInternet标准。标准。IESG(Internet Engineering Steering Group)IESG(Internet Engineering Steering Group),InternetInternet工程指导小组,是工程指导小组,是IETFIETF的上层机构。的上层机构。管理管理TCP/IPTCP/IP的组织机构的组织机构IRTF( Internet Research Task Force), InternetIRTF( Internet Research Task Force), Internet研究任研究任务组。务组。IRSG( Internet Rese
7、arch Steering Group), InternetIRSG( Internet Research Steering Group), Internet研研究指导小组,究指导小组,IRTFIRTF受受IRSGIRSG的管理。的管理。IANA( Internet Assigned Numbers Authority), InternetIANA( Internet Assigned Numbers Authority), Internet数字分配机构,负责分配和维护数字分配机构,负责分配和维护InternetInternet技术标准中的唯一技术标准中的唯一编码和数值系统。编码和数值系统。I
8、CANN( Internet Corporation for Assigned Names and ICANN( Internet Corporation for Assigned Names and Numbers),InternetNumbers),Internet名称与数字地址分配机构,具体行使名称与数字地址分配机构,具体行使IANAIANA的职能,负责的职能,负责DNSDNS域名管理和域名管理和IPIP地址分配。地址分配。ICANNICANN把把IPIP地地址分配给全球址分配给全球5 5大地区的大地区的InternetInternet注册机构(注册机构(RIRRIR),北美地),北美地
9、区的区的ARINARIN,欧洲地区的,欧洲地区的RIPERIPE,拉丁美洲地区的,拉丁美洲地区的LACNICLACNIC,非洲,非洲地区的地区的AFriNICAFriNIC,亚太地区的,亚太地区的APNICAPNIC。TCP/IP TCP/IP 管理管理层次体系(层次体系(P3P3)1.1.4 RFC(P3)vRFC( Request For Comment)RFC( Request For Comment),请求注释,是有关,请求注释,是有关InternetInternet的一系列注解和文件。的一系列注解和文件。RFCRFC文档的发布开始于文档的发布开始于19691969年,绝大部分年,绝大
10、部分InternetInternet标准的制定都是以标准的制定都是以RFCRFC的形式的形式开始,经过大量的论证和修改而完成。开始,经过大量的论证和修改而完成。vRFC206RFC206“The Internet Standard Process-Revision The Internet Standard Process-Revision 3 3”给出给出InternetInternet标准的建立过程。标准的建立过程。v由由IETFIETF和和IESGIESG共同制定的共同制定的InternetInternet协议簇的规范文档就是协议簇的规范文档就是作为作为RFCRFC进行发布的,许多进行发
11、布的,许多TCP/IPTCP/IP协议都得到了协议都得到了RFCRFC的充分的充分论证和文档支持。论证和文档支持。vRFCRFC包含了关于包含了关于InternetInternet几乎所有的重要文字资料,这些几乎所有的重要文字资料,这些RFCRFC文档资料公开在文档资料公开在InternetInternet上提供下载。上提供下载。http:/www.ietf.org/rfc/http:/www.ietf.org/rfc/vRFCRFC由由IETFIETF具体创建和维护。具体创建和维护。RFC RFC 1.1.InternetInternet 标准规范标准规范 (P4P4)v符合符合Intern
12、etInternet标准过程的规范归结为标准过程的规范归结为TSTS和和ASAS两类:两类:TS( TS( Technical Specification,Technical Specification,技术规范技术规范) )是关于协议约定和格是关于协议约定和格式的描述,式的描述,AS( Applicability Statement,AS( Applicability Statement,实用性陈述实用性陈述) )是是协议使用的环境和方法。协议使用的环境和方法。vASAS为每个为每个TSTS指定下列指定下列5 5个需求等级:个需求等级:必需的(必需的(RequiredRequired),必须
13、在所有使用),必须在所有使用TCP/IPTCP/IP协议簇的协议簇的系统中使用。系统中使用。推荐的(推荐的(RecommendedRecommended),不是必需的,但是根据经验和),不是必需的,但是根据经验和技术要求推荐使用。技术要求推荐使用。可选的(可选的(ElectiveElective),不推荐,在系统中的实现可选。),不推荐,在系统中的实现可选。限制使用的(限制使用的(Limited UseLimited Use)不推荐的(不推荐的(Not RecommendedNot Recommended)RFCRFC 2.2.InternetInternet 标准处理过程标准处理过程 (P4
14、P4) 一个规范文档要进入一个规范文档要进入InternetInternet标准之前,标准之前,首先要作为一个草案提交,接受非正式的评论。首先要作为一个草案提交,接受非正式的评论。如果超过如果超过6 6个月,你的草案还没有被个月,你的草案还没有被IESGIESG推荐发推荐发布,则被从草案目录中移除。布,则被从草案目录中移除。 如果被推荐发布成为如果被推荐发布成为RFCRFC文档,可从草案文档,可从草案转为正式转为正式RFCRFC。InternetInternet 标准处理过程标准处理过程 1.1.标准轨迹标准轨迹 试图成为试图成为InternetInternet标准的规范必须经过一系列的成熟等
15、级,标准的规范必须经过一系列的成熟等级,也就是也就是InternetInternet标准轨迹。由标准轨迹。由3 3个成熟等级构成:个成熟等级构成:提案标准(提案标准(Proposed StandardProposed Standard):此规范已经通过了):此规范已经通过了深入的审查过程,受到足够多的组织的关注,并被认为深入的审查过程,受到足够多的组织的关注,并被认为是有价值的。是有价值的。草案标准(草案标准(Draft StandardDraft Standard):此规范已经被很好的理):此规范已经被很好的理解,并被认为是稳定的,可以被用作开发。解,并被认为是稳定的,可以被用作开发。因特网
16、标准(因特网标准(Internet StandardInternet Standard):经过有效的实现):经过有效的实现和成功的运行,并达到了很高的技术成熟度,和成功的运行,并达到了很高的技术成熟度,IESGIESG分配分配给给1 1个个STDSTD号码,号码,RFCRFC文档成为正式的官方标准协议。文档成为正式的官方标准协议。InternetInternet 标准处理过程标准处理过程2.2.非标准轨迹非标准轨迹未进入标准轨迹的规范有以下未进入标准轨迹的规范有以下3 3个成熟等级:个成熟等级:实验性的(实验性的(ExperimentalExperimental):作为):作为Internet
17、Internet社区的社区的一般信息发布,是研究和开发工作的记录,属于正一般信息发布,是研究和开发工作的记录,属于正在试验的情况。在试验的情况。信息性的(信息性的(InformationalInformational):):作为作为InternetInternet社区的社区的一般信息发布,但是并不表示得到社区的推荐和认一般信息发布,但是并不表示得到社区的推荐和认可。可。历史性的(历史性的(HistoricHistoric):已经被更新的规范取代,):已经被更新的规范取代,或已经过时了。或已经过时了。1.2 OSI1.2 OSI参考模型(参考模型(P5P5) OSI OSI是由是由ISOISO制
18、定的国际标准,制定的国际标准,后来改称为后来改称为OSI/RMOSI/RM。1.2.1 1.2.1 OSIOSI参考模型的层次结构参考模型的层次结构(P5P5)ISO/ISO/OSIOSI具有以下主要特点(具有以下主要特点(P6P6)它定义的是一种抽象结构,并未明确如何实现其中每一层的它定义的是一种抽象结构,并未明确如何实现其中每一层的功能。功能。每一层所完成的功能都是独立的,与其他层完成的功能无关。每一层所完成的功能都是独立的,与其他层完成的功能无关。每一层的功能自成体系,使开放互联成为可能。每一层的功能自成体系,使开放互联成为可能。低层为高层服务,高层可以忽略低层的分层细节,便于网络低层为
19、高层服务,高层可以忽略低层的分层细节,便于网络开发和设计。开发和设计。相邻的两层之间提供有接口,便于两层之间的通信。相邻的两层之间提供有接口,便于两层之间的通信。它仅仅是一种参考,实际的网络体系并未将其每一层的功能它仅仅是一种参考,实际的网络体系并未将其每一层的功能实现,而是省略某些层。实现,而是省略某些层。1.2.2 1.2.2 OSIOSI参考模型的通信机制参考模型的通信机制(P6P6)OSIOSI参考模型采用逐层传递、对等通信的机制。通信过程参考模型采用逐层传递、对等通信的机制。通信过程必须经过一个发送方自上而下及接收方自下而上的数据传必须经过一个发送方自上而下及接收方自下而上的数据传输
20、过程。对等层之间实现逻辑上的通信。输过程。对等层之间实现逻辑上的通信。源主机向目标主机发送数据时,数据自上而下必须逐层封源主机向目标主机发送数据时,数据自上而下必须逐层封装(数据打包),每层对于从上层传下来的数据,要附加装(数据打包),每层对于从上层传下来的数据,要附加首部(包头)和尾部(包尾)。首部(包头)和尾部(包尾)。目标主机接收数据时,自下而上必须对原来封装的数据逐目标主机接收数据时,自下而上必须对原来封装的数据逐层解封(解包),每层对于从下层传上来的数据要去除原层解封(解包),每层对于从下层传上来的数据要去除原来附加的包头包尾。来附加的包头包尾。真正的通信动作只发生在同一台计算机内彼
21、此相邻的两层真正的通信动作只发生在同一台计算机内彼此相邻的两层之间,以及两机之间的物理层。之间,以及两机之间的物理层。OSIOSI参考模型的通信机制参考模型的通信机制(P6P6)1.2.3 1.2.3 协议数据单元(协议数据单元(PDUPDU)()(P7P7)物理层称为位流或比特流物理层称为位流或比特流 0011000011010101101100011100110000110101011011000111链路层称为帧(链路层称为帧(FrameFrame)网络层中称为分组或包(网络层中称为分组或包(PacketPacket)传输层中称为段(传输层中称为段(SegmentSegment)、数据段
22、或报文段)、数据段或报文段应用层中称为报文或消息(应用层中称为报文或消息(MessageMessage)1.2.4 1.2.4 OSIOSI各层功能和对应的网络管理工作各层功能和对应的网络管理工作物理层物理层在实际物理线路上传输通在实际物理线路上传输通信数据信数据bitbit。网络电缆、双绞网络电缆、双绞线、光纤。线、光纤。网络布线设计、线网络布线设计、线路测试及排故。路测试及排故。链路层链路层在主机之间传输数据帧在主机之间传输数据帧(Frame)(Frame)。网卡、集线器、网卡、集线器、两层交换机。两层交换机。两层交换机使用,两层交换机使用,数据帧分析。数据帧分析。网络层网络层在网络节点之
23、间传输数据在网络节点之间传输数据包包(Packet)(Packet)。三层交换机、路三层交换机、路由器。由器。TCP/IPTCP/IP中中的的IPIP。三层交换机、路由三层交换机、路由器配置,数据包分器配置,数据包分析。析。传输层传输层提供网络节点之间的可靠提供网络节点之间的可靠数据传输。数据传输。TCP/IPTCP/IP中的中的TCPTCP。TCPTCP和和UDPUDP协议配置,协议配置,端口映射,代理服端口映射,代理服务器配置。务器配置。会话层会话层负责网络应用进程之间的负责网络应用进程之间的协商和连接。协商和连接。如如NETBIOSNETBIOS协议。协议。表示层表示层负责数据格式的转换
24、。负责数据格式的转换。打印、显示、文打印、显示、文件格式转换。件格式转换。应用层应用层面向用户提供最终用户界面向用户提供最终用户界面。面。电子邮件、电子邮件、WWWWWW等。等。电子邮件系统、电子邮件系统、WebWeb网站管理。网站管理。1.3 TCP/IP1.3 TCP/IP协议簇协议簇(P9P9)1.3.1 TCP/IP1.3.1 TCP/IP与与OSIOSI的层次对应关系(的层次对应关系(P9P9)应用用层表示表示层会会话层SMTPFTPHTTPTelnetSNMPDNS应用用层传输层TCPUDPSCTP传输层网网络层ICMPIPIGMP网网络层ARPRARP链路路层底底层网网络定定义的
25、的协议(以太网、令牌(以太网、令牌环、PPP等)等)网网络接接口口层物理物理层OSI模型模型TCP/IP协议族族TCP/IP结构构1.3.2 TCP/IP1.3.2 TCP/IP各层(各层(P9P9)1.1.网络接口层,对应网络接口层,对应OSIOSI的物理层和数据链路层,的物理层和数据链路层,TCP/IP TCP/IP 没有定义。没有定义。2.2.网络层网络层, TCP/IP, TCP/IP的的IPIP层,负责层,负责IPIP数据包的传输、路由数据包的传输、路由选择、流量控制、拥塞控制。选择、流量控制、拥塞控制。IPIP协议是网络层的核心协协议是网络层的核心协议,也是议,也是TCP/IPTC
26、P/IP协议簇的核心协议。包括协议簇的核心协议。包括ARPARP、RARPRARP、ICMPICMP、IGMPIGMP。3.3.传输层,为两台主机之间提供端到端的通信,包含传传输层,为两台主机之间提供端到端的通信,包含传输控制协议输控制协议TCPTCP和用户数据报协议和用户数据报协议UDPUDP。TCPTCP提供可靠的面提供可靠的面向连接的传输,向连接的传输,UDPUDP提供简单高效的无连接传输。提供简单高效的无连接传输。4.4.应用层,对应应用层,对应OSIOSI的会话层、表示层、应用层,常用的的会话层、表示层、应用层,常用的协议有协议有FTPFTP、SMTPSMTP、HTTPHTTP。TC
27、P/IPTCP/IP层次结构(层次结构(P10P10)1.3.3 TCP/IP1.3.3 TCP/IP封装与分用(封装与分用(P10P10)与与OSIOSI参考模型的逐层传递、对等通信机制一样,参考模型的逐层传递、对等通信机制一样,TCP/IPTCP/IP网络节点之间的通信也要经过层层转换。网络节点之间的通信也要经过层层转换。源主机的出站数据经过源主机的出站数据经过TCP/IPTCP/IP协议栈的每一层被封装协议栈的每一层被封装(打包和标示),交付给下一层。(打包和标示),交付给下一层。目标主机接收入站数据后,逐层解封(拆除封装信息),目标主机接收入站数据后,逐层解封(拆除封装信息),又称分用
28、,交付给上一层。又称分用,交付给上一层。源主机的数据链路层把数据包封装成帧后发送到物理层,源主机的数据链路层把数据包封装成帧后发送到物理层,在传输介质上以在传输介质上以bitbit流的形式发出,到达目的主机后经过流的形式发出,到达目的主机后经过对帧首和帧尾的识别,区分出每一帧。对帧首和帧尾的识别,区分出每一帧。TCP/IPTCP/IP封装与分用封装与分用TCP/IPTCP/IP封装过程封装过程(P11P11)发送方(源主机)应用程序的数据被送入协议栈,逐层通发送方(源主机)应用程序的数据被送入协议栈,逐层通过,最后在以太网的物理层成为一串过,最后在以太网的物理层成为一串bitbit流通过传输介
29、质流通过传输介质传递(网络电缆)。传递(网络电缆)。每一层从上层收到数据都要附加首部,在以太网还要附加每一层从上层收到数据都要附加首部,在以太网还要附加尾部,对数据进行封装。被封装的数据又称为有效载荷尾部,对数据进行封装。被封装的数据又称为有效载荷(PayloadPayload)。)。TCPTCP层在生成段首部时加入端口号,标识不同的应用程序。层在生成段首部时加入端口号,标识不同的应用程序。IPIP层在生成包首部时加入协议号,区分上层协议。层在生成包首部时加入协议号,区分上层协议。以太层在生成帧首部时加入类型号,区分上层协议。以太层在生成帧首部时加入类型号,区分上层协议。TCP/IPTCP/I
30、P封装与分用封装与分用TCP/IPTCP/IP封装过程封装过程(P11P11)TCP/IPTCP/IP分用过程分用过程(P12P12)接收方(目的主机)收到以太网数据帧,数据从协议接收方(目的主机)收到以太网数据帧,数据从协议栈由底层向顶层逐层上传,每上传一层都要去掉首部,栈由底层向顶层逐层上传,每上传一层都要去掉首部,以太网的帧还要去掉尾部。以太网的帧还要去掉尾部。每层协议都要检查首部中的协议标识,以确定接收数每层协议都要检查首部中的协议标识,以确定接收数据的上层协议。如以太帧中的据的上层协议。如以太帧中的TYPETYPE字段,用于区分字段,用于区分IPIP层用的协议;层用的协议;IPIP包
31、中的包中的ProtocolProtocol字段,用于区分字段,用于区分TCPTCP层用的协议。层用的协议。目的主机的解封是源主机封装的逆过程。目的主机的解封是源主机封装的逆过程。TCP/IPTCP/IP分用过程分用过程(P12P12)1.3.4 TCP/IP1.3.4 TCP/IP协议重要概念(协议重要概念(P12P12)1. 1. 面向连接的协议与无连接的协议面向连接的协议与无连接的协议TCPTCP是面向连接协议,是面向连接协议,IPIP和和UDPUDP是无连接协议。是无连接协议。2. 2. 可靠的协议与不可靠的协议可靠的协议与不可靠的协议TCPTCP是可靠协议,是可靠协议,UDPUDP是不
32、可靠协议。是不可靠协议。3. 3. 字节流协议与数据报协议字节流协议与数据报协议TCPTCP是字节流协议,是字节流协议,UDPUDP是数据报协议。是数据报协议。4. IP4. IP地址地址5. TCP/IP5. TCP/IP协议号、端口号及插座协议号、端口号及插座TCPTCP协议号协议号6 6,UDPUDP协议号协议号1717将将1 1个个IPIP地址与地址与1 1个端口号结合就是个端口号结合就是1 1个套接字个套接字(SocketSocket), ,也称插座。也称插座。所谓所谓TCP/IPTCP/IP的应用程序要用的的应用程序要用的3 3种地址(种地址(P13P13)端口地址:出现在传输层,
33、位于端口地址:出现在传输层,位于TCPTCP或或UDPUDP首部中,用首部中,用于识别特定的应用程序或进程。于识别特定的应用程序或进程。IPIP地址:出现在网络层,位于地址:出现在网络层,位于IPIP首部中,用来识别网首部中,用来识别网络和主机。络和主机。物理地址:出现在数据链路层,位于帧首部中,用来物理地址:出现在数据链路层,位于帧首部中,用来识别网络接口。识别网络接口。分层分析和排查网络故障(分层分析和排查网络故障(P13P13)从低层开始排查,适于新组建的网络。从低层开始排查,适于新组建的网络。从高层开始排查,适于运行成熟的网络。从高层开始排查,适于运行成熟的网络。直接从应用层着手,可以
34、按照以下步骤来排查。直接从应用层着手,可以按照以下步骤来排查。(1 1)检查)检查WebWeb浏览器是否正确配置,用浏览器去访问另一个浏览器是否正确配置,用浏览器去访问另一个WebWeb网站。网站。(2 2)如果浏览器没问题,可测试)如果浏览器没问题,可测试WebWeb服务器是否正常运行。服务器是否正常运行。(3 3)如果)如果WebWeb服务器没有问题,再测试网络的连通性。服务器没有问题,再测试网络的连通性。直接从位于中间的网络层开始排查,具体步骤如下。直接从位于中间的网络层开始排查,具体步骤如下。(1 1)检查网络层,测试网络的连通性和路由配置等。)检查网络层,测试网络的连通性和路由配置等
35、。(2 2)如果网络层测试有问题,则检测网络的低层(物理层和链路层),)如果网络层测试有问题,则检测网络的低层(物理层和链路层),测试网络的连通性和交换机的配置等。测试网络的连通性和交换机的配置等。(3 3)如果网络层的测试正常,则检测网络的高层(应用层和传输层),)如果网络层的测试正常,则检测网络的高层(应用层和传输层),测试应用程序和网络传输故障。测试应用程序和网络传输故障。(4 4)排查其他信息,如网络中的流量占用、传输的数据包等。)排查其他信息,如网络中的流量占用、传输的数据包等。1. 1. 分层排查方式的选择分层排查方式的选择分层分析和排查网络故障分层分析和排查网络故障对于物理层,采
36、用专用的线缆测试仪对于物理层,采用专用的线缆测试仪对于数据链路层,可简单用对于数据链路层,可简单用arparp命令检查命令检查MACMAC地址与地址与IPIP地址地址之间的映射问题。之间的映射问题。对于网络层,可用对于网络层,可用routeroute命令测试路由路径。也可用命令测试路由路径。也可用pingping命令测试连通性。命令测试连通性。协议分析器具有很强的检测和排查能力,能够分析数据链协议分析器具有很强的检测和排查能力,能够分析数据链路层、网络层的数据通信。路层、网络层的数据通信。对于应用层,可用应用程序自身测试。对于应用层,可用应用程序自身测试。2. 分层排查方法(分层排查方法(P1
37、4)分层分析和排查网络故障分层分析和排查网络故障分层排查方法(分层排查方法(P14P14)分层分析和排查网络故障分层分析和排查网络故障分层排查实例分层排查实例(1 1)pingping远程计算机(目标)。远程计算机(目标)。(2 2)pingping同一子网(网段)的网关(例中为路由器同一子网(网段)的网关(例中为路由器1 1)来)来确认主机确认主机A A是否能够连接到本地网关(路由器)。是否能够连接到本地网关(路由器)。(3 3)pingping环回地址环回地址127.0.0.1127.0.0.1。从从pingping环回地址环回地址127.0.0.1127.0.0.1开始逐步进行开始逐步进
38、行 ,只要成功地,只要成功地pingping到远程主机,可以判断网络问题一般发生在更高的网到远程主机,可以判断网络问题一般发生在更高的网络层次。络层次。 3. 分层排查实例(分层排查实例(P14)1.4 1.4 协议分析协议分析(P15P15)协议分析(协议分析(Protocol AnalysisProtocol Analysis)又称网络分析)又称网络分析(Network Analysis Network Analysis ), ,是接入网络通信系统捕是接入网络通信系统捕获网络中传输的数据,收集网络统计信息,将数获网络中传输的数据,收集网络统计信息,将数据包解码为可读数据的过程。据包解码为可
39、读数据的过程。本质上,协议分析器是窃听网络通信的工具。本质上,协议分析器是窃听网络通信的工具。协议分析器能够揭示许多有潜在价值的信息,甚协议分析器能够揭示许多有潜在价值的信息,甚至破坏信息。至破坏信息。1.4.1 1.4.1 协议分析概述(协议分析概述(P15P15)协议分析实际上是一种包嗅探技术,可以查询协议分析实际上是一种包嗅探技术,可以查询网络中的每个数据包,能够确定某一应用程序网络中的每个数据包,能够确定某一应用程序或或IPIP地址产生的流量,便于监测网络数据传输,地址产生的流量,便于监测网络数据传输,从而排除网络故障。从而排除网络故障。1. 1. 协议分析原理(协议分析原理(P15P
40、15)以太网中同一个网段的所有网络接口都可以访问传输介质上以太网中同一个网段的所有网络接口都可以访问传输介质上传输的所有数据。每个以太网接口都有一个唯一的硬件地址传输的所有数据。每个以太网接口都有一个唯一的硬件地址(MACMAC地址)。地址)。通常,一个以太网接口只能响应两种数据帧:与自己硬件地通常,一个以太网接口只能响应两种数据帧:与自己硬件地址相匹配的数据帧和发向所有节点的广播数据帧。址相匹配的数据帧和发向所有节点的广播数据帧。以太网络数据的收发由网卡完成,网卡有以下以太网络数据的收发由网卡完成,网卡有以下4 4种接收模式:种接收模式:广播:能够接收发送给自己的数据帧和网络中的广播帧。广播
41、:能够接收发送给自己的数据帧和网络中的广播帧。多播:只能够接收多播数据帧。多播:只能够接收多播数据帧。直接:只能够接收发送给自己的数据帧。直接:只能够接收发送给自己的数据帧。混杂(混杂(Promiscuous ModePromiscuous Mode):能够接收一切到达它的数据):能够接收一切到达它的数据帧,而不管该数据是否是传给它的。帧,而不管该数据是否是传给它的。2. 协议分析应用场合(协议分析应用场合(P16)协议分析工具能够检查经过网卡的所有数据包,并进行解码协议分析工具能够检查经过网卡的所有数据包,并进行解码和分析。主要应用场合如下:和分析。主要应用场合如下:诊断网络通信故障。在网络
42、上配置分析工具并捕获存在问诊断网络通信故障。在网络上配置分析工具并捕获存在问题的通信序列,通过读取和分析所传输的数据包,识别出题的通信序列,通过读取和分析所传输的数据包,识别出通信过程存在的缺陷和错误。通信过程存在的缺陷和错误。测试网络。通过侦听网络中的数据包来对网络进行测试。测试网络。通过侦听网络中的数据包来对网络进行测试。评估网络性能和分析流量趋势。评估网络性能和分析流量趋势。用于教学和实验。验证用于教学和实验。验证TCP/IP网络中各类数据包的结构。网络中各类数据包的结构。1.4.2 1.4.2 协议分析工具的部署(协议分析工具的部署(P16P16)v协议分析工具只能检查实际流经监测计算
43、机的网卡上的数协议分析工具只能检查实际流经监测计算机的网卡上的数据包。据包。v在传统的使用集线器连接的网络中,可以直接获取网络中在传统的使用集线器连接的网络中,可以直接获取网络中的所有数据包。的所有数据包。v但在交换式网络中,只有广播数据包能够发送到每个计算但在交换式网络中,只有广播数据包能够发送到每个计算机的网卡,通常不能直接看到网络中其它计算机的非广播机的网卡,通常不能直接看到网络中其它计算机的非广播数据包。需要使用支持端口镜像配置的交换机。数据包。需要使用支持端口镜像配置的交换机。v也可以采用串接网络分路器或集线器。实际应用中根据不也可以采用串接网络分路器或集线器。实际应用中根据不同的网
44、络环境和监测要求来选择部署。同的网络环境和监测要求来选择部署。传统共享式网络传统共享式网络(P16)使用集线器(使用集线器(HUBHUB)作为)作为网络中心点的交换设备网络中心点的交换设备的网络可将协议分析器的网络可将协议分析器安装在局域网中任意安装在局域网中任意1 1台台计算机上,可以获得整计算机上,可以获得整个网络上所有通信数据。个网络上所有通信数据。具备镜像功能的交换式网络具备镜像功能的交换式网络(P16P16)使用交换机的交换式使用交换机的交换式网络将整个网络分成网络将整个网络分成隔成很多小网络,可隔成很多小网络,可以在交换机上配置好以在交换机上配置好端口镜像,将协议分端口镜像,将协议
45、分析工具安装在连接镜析工具安装在连接镜像端口的主机上,可像端口的主机上,可以捕获整个网络中所以捕获整个网络中所有的通信数据。有的通信数据。不具备镜像功能的交换式网络不具备镜像功能的交换式网络(P17P17)普通交换机不具备镜普通交换机不具备镜像功能,可在交换机像功能,可在交换机与路由之间串接一个与路由之间串接一个分路器或集线器,可分路器或集线器,可以捕获整个网络中所以捕获整个网络中所有的通信数据。有的通信数据。部署代理服务器的网络部署代理服务器的网络(P17P17)对于通过代理服务器对于通过代理服务器共享上网的情况,直共享上网的情况,直接将包嗅探工具安装接将包嗅探工具安装在代理服务器上即可,在代理服务器上即可,可以同时对代理服务可以同时对代理服务器的内部网卡和外部器的内部网卡和外部网卡进行数据捕获。网卡进行数据捕获。监测某个特定网段监测某个特定网段(P17P17)对于规模较大的网对于规模较大的网络,并不需要监测络,并不需要监测整个网络,只需要整个网络,只需要对某些可能出现异对某些可能出现异常的部位进行监测,常的部位进行监测,可将网络分路器串可将网络分路器串接在要监测的网段,接在要监测的网段,可实现特定网段的可实现特定网段的数据采集。数据采集。
