网络层故障的诊断及排除方法.pptx

资源描述

网络层故障诊疗与维护网络层故障诊疗与维护网络层故障的诊断及排除方法第1页关键点内容网络层协议；网络层协议；网络层故障现象；网络层故障现象；网络层故障诊疗及排除方法；网络层故障诊疗及排除方法；数据包结构及数据包结构及sniffer使用。使用。网络层故障的诊断及排除方法第2页1.1 网络层功效网络层功效1.1.1网络层功效概述应用层 Application表示层 Presentation会话层 Session传输层 Transport网络层 Network数据链路层 Data Link物理层 Physical网络层是OSI参考模型第三层（如图5-1），是包括网络配置工作最多地方，主要处理网络与网络之间通信问题。其中包含了分配网络地址与子网掩码、添加默认网关与域名服务器、安装和配置路由器。当然,网络层也是网络配置中,易于犯错层。在一个巨大互联网络中,维护人员大量时间被用于处理此层中发生问题。应用层 Application表示层 Presentation会话层 Session传输层 Transport网络层 Network数据链路层 Data Link物理层 Physical 图1 网络层位置网络层故障的诊断及排除方法第3页1.1 网络层功效网络层功效对网络层支持所包括到任务并不是非常多,不过,必须完全掌握网络层功效,才能有效维护此层网络故障并处理故障。网络层处理逻辑地址，正是利用这些地址,网络协议才能有效地将数据包从一个网络传输到另一个网络。对网络层分析分为3个部分:定义逻辑地址,提供路由选择,处理无连接数据包传输。1.1.2定义逻辑地址逻辑地址是指配置给设备地址,它工作在网络层,提供了网络与主机信息。逻辑地址并不像数据链路层定义热物理地址那样能够表现网络结构。对于一个网络协议,为了将数据从一个网络传送到另一个网络,必需利用两部分逻辑地址:一部分用来识别网络,另一部分用来标识主机。大量网络协议都采取这么方式来利用逻辑地址。举例来说,TCP/IP,IPX/SPX.,以及AppleTalk协议都符合此项要求,而NetBUEI 和DLC(数据链路控制)则不能满足此项要求。网络层故障的诊断及排除方法第4页1.1 网络层功效网络层功效逻辑地址必需包含网络部分与主机部分。这么,一个巨大、包含有上千台主机(企业内)甚至于上百万台主机(互联网)网络才能被结构起来,而且能够快速定位其中每一台主机。路由器首先找到主机所在网络,然后南确定单独主机地址。找到这个网络以后,在那个网络中一台路由器将经过将逻辑地址与数据链路层物理地址映射,从而找到这个独产主机。数据包抵达正确网络以后,不一样协议将采取不一样方式来将主机逻辑地址映射为物理地址。TCP/IP采取方式则是利用地址解析协议(ARP)。网络层中最复杂一个方面是决定数据包在传送到目标地时,所经过网络最正确路径。1.1.3互联网络中路径选择假如从一端到另一端只存在一条路径,那么网络层工作将变得非常单纯。不过,正如国家中复杂道路系统一样,在大多数大型网络里,都存在有多条从位置A到位置B路径。而且,并不总是有一个明确结论,来选择应该遵从哪一条路径。有一些线路上业务量很繁重,而另一些线路上业务量极少;有一些正在进行建设或出现了故障,而有一些则运行通畅。网络层,利用路由协议,能够选择抵达目地最正确路径。假如有一条原来通畅线路变得拥塞甚至不可利用,那么就需要选定一条备用线路。路由协议信赖于包含有主机标号域与网络标号域逻网络层故障的诊断及排除方法第5页1.1 网络层功效网络层功效辑地址。含有此样逻辑寻址方案协议则被称为路由协议或可路由协议。在本章以后讨论路由器时,我们将仔细讨论怎样配置路由协议,以及怎样监测有问题领域。若想将数据包从一个网络有效地传输到另一个网络,网络层需要完成很多工作。提升效率关键是降低开销。换句话说,网络层有特定工作需要去完成,而可靠性,流量控制等事务,则留给其它层去实现。1.1.4无连接数据包传输网络层依靠于OSI模型中更高几层来提供高级功效,如可靠性与流量控制。网络层工作是将数据包Y从源所在网络传输到目标所在网络,而不考虑是否有数据包X或数据包Z也要抵达同一目标地址。实际上,当一个网络中网络层组成部分沿着数据包前往目地路径将数据包传送给另一个网络以后,无法确认数据包是否安全抵达。这么一个方式被称为无连接通信。无连接通信中,从源到目标地并没有建立一条连接。网络层协议依赖于信用(或上层协议)来确保数据包传输安全。此系统与利用美国邮政寄送交第一类信件非常相同。将信件放入邮箱中,希望能够传送到目标地。通常情况下,正是如此。但若想要确认信被收到了(或被通知信没有被收到),就必须在信件上加一层附件(同时,花费网络层故障的诊断及排除方法第6页1.1 网络层功效网络层功效少理美元)并发送一封确信信。确认信要求接收者做出一个回应,接收回执被送回发送者。1.1.5网络层主要功效 1)过路由选择算法，为分组经过通信子网选择最适当路径；2)网络层使用数据链路层服务；3)实现路由选择、拥塞控制与网络互联等基本功效；4)向传输层端一端传输连接提供服务；网络层故障的诊断及排除方法第7页1.2 网络层组件网络层组件网络层中，路由器对该层非常主要。它们利用网络层中定义逻辑地址来决定怎样在网络通信中更有效地传输数据信息。协议则是网络层必不可少，他们定义传输语法和规则。1.2.1网络协议一台计算机只有在恪守网络协议前提下，才能在网络上与其它计算机进行正常通信。尽管在网络中,物理层是基础,但工作在网络层协议则是网络关键成份。大多数协议以簇形式出现,将一系列函数整合成为一个协议进行安装。比如:TCP/IP包含IP网络层协议,TCP与UDP传输层协议。当然还包含一个应用程序与问题处理工具包,如FTP和PING工具。IPX/SPX带有IPX网络层协议,SPX传输层协议,以及NETWERE关键协议(NCP)。NCp处理了一些传输层以及上层功效。NETBEUI则是一个轻量级协议,它只在传输层与会话层上工作。尽管能够选择很多网络协议,但应用最普遍网络协议则是TCP/IP。网络层故障的诊断及排除方法第8页1.2 网络层组件网络层组件1.2.2路由器将数据发送到它目标地假如没有路由器在网络层中努力工作,我们将不会拥有像互联网这么丰富资源。想象一个邮政系统,其中我们信件只有街道地址。没有城市,州和邮政编码。这么一个系统所造成绝望情况,便是对于大网络,假如没有路由器所产生后果。路由器,与包含有逻辑地址协议一起,为巨大互联网提供了一些有序性与结构。路由器责任是接收一个网络数据包,判断目标地址所在地网络标号,并将数据包发送到目标地所在地网络。假如收到数据包路由器恰好连接目标地所在网络,路由器将把数据包发送给目标主机。在只有少数几个网络互联网中,这并不是一个复杂工作。但对于一个含有成千上万网络互联网来说,正确地配置路由器,选择路由协议,实现安全机制则是一个非常值得掌握技能。1.2.3经过互联网协议来支持TCP/IP 网络层故障的诊断及排除方法第9页1.2 网络层组件网络层组件应用层应用层数据段表示层会话层传输层传输层数据包网络层网络互连层数据帧数据链路层主机到网络层比特物理层图2 OSI与TCP/IP模型对应关系网络层故障的诊断及排除方法第10页1.2 网络层组件网络层组件 TCP/IP协议簇包含了很多组成部分,而且覆盖了OSI模型中最上面5层。在图5-2中，展示了TCP/IP协议簇与OSI模型对应关系。注意,网络接口层对应于OSI模型中数据链路层与物理层。TCP/IP并没有任何协议或组成部分应用于这两层。不过只要使用了适当数据链路驱动程序,TCP/IP却能够按物理层和数据链路层规范工作。1.网络层协议网络层协议IP 全球大量信息与错误信息集合被称为互联网。这是按现今普遍利用网络协议,网际协议(IP)来命名。支持IP关键是了解寻址机制。了解了寻址机制以后,对于网络主机和路由器操作与支持将变得比较轻易。1）IP寻址 IP地址上一个32比特数字,以八比特一组,称为字节方式分成4组。每一个字节都可能包含一个从0到255值。通常,IP地址写成有圆点间隔,十进制形式。尽管可能会经常碰到需要采取16进制应用程序。一个经典IP地址可能像这么:192.168.0.1 其中,192是第1个字节,1是第4个字节。网络层故障的诊断及排除方法第11页1.2 网络层组件网络层组件每一个IP地址中包含了网络标号与主机标号。也就是说,32比特数据中,有一些描述了在哪个网络中,能够发觉主机。地址中剩下比特则确定了网络中特定计算机或设备。对一台主机能够配置3类IP地址,分别是A,B,C类。一个特定IP地址所属于类是由地址第1个字节来决定。注意注意:也存在等级D和等级EIP地址。等级D地址第一个字节值在224239之间,此地址用来做广播发送。等级E地址第一个字节值在240255之间,被保留以用作测试。以下表：网络层故障的诊断及排除方法第12页1.2 网络层组件网络层组件类型网络比特/字节数量默认子网掩码A8/1255.0.0.0B16/2255.255.0.0C24/3255.255.255.0表5-1 不一样类型地址中网络比特与默认掩码地址类别确定了用来描述网络序列号比特数,剩下比特确定了主机。网络比特总是从第一个字节开始。表5-1展示了这种关系。2）子网与子网掩码子网是将一个特定类网分解成更多网络。子网掩码决定了IP地址中哪些是网络部分,哪些是主机部分。子网掩码被称为掩码,是因为它经过将子网掩码与IP地址逻辑与隐藏了。或者屏蔽了主机地址。主机使用子网掩码以及配置IP地址,来确认它自己网络。路由器利用掩码与收到包目标地址决定数据包所要发送到网络。网络层故障的诊断及排除方法第13页1.2 网络层组件网络层组件注意注意:必须一直使用子网掩码。子网掩码是IP地址同伴。二者皆不可单独存在,所以当您配置一个时,必须配置另外一个。3）IP主机配置 IP地址配置一条规则便是全部同一个物理网络中主机必须包含相同网络号。因为一个IP地址设置离不开子网掩码，上面规则暗示了主机也必须含有相同子网掩码。图5-3形象地表示同一个物理网络所表示详细含义。图中，每一个圆圈表示一个单独物理网络。大致上，一个单独物理网络能够是网络任何一部分。它与网络其它部分经过一个路由器接口相连。每一个物理网络路由器接口必须配置一个地址，此地址与在网络中主机网络号相同。除了一个IP地址和子网掩码，大多数主机配置一样需要一个默认网关地址。默认网关，通常是指路由器地址。当网络中主机发送数据包时，假如数据包目标地址不在同一个网络中，数据将传送给这个设备，网络层故障的诊断及排除方法第14页1.2 网络层组件网络层组件图3 经过路由器连接3个物理网络网络层故障的诊断及排除方法第15页1.2 网络层组件网络层组件当一个主机要将一个数据包发送出去时，主机将目标IP地址与子网掩码进行逻辑AND操作。假如取得网络号与主机网络号不一样，数据包将发送到默认网关，希望默认网关能够发觉目标所在网络。因为默认网关被用来确定不一样网络中主机，所以，它必须含有与发送设备相同网络号。主机设置中经常发生一个问题是设置了错误子网掩码。构想在一个物理网络中，存在两台微机。计算机A含有IP地址192.168.1.34，子网掩码255.255.255.224。计算机B含有地址192.168.1.60，子网掩码255.255.255.0。假如计算机A试图PING计算机B，将会发生以下情况：计算机A将目标地址192.168.1.60与子网掩码255.255.255.224逻辑AND，得到网络号为192.168.1.32。因为计算机A存在于192.168.1.32这个网络中，计算机A将发送一个ARP广播来找到计算机BMAC地址，从现象上看，PING将得到回应，同没有设置错误情形一样。构想网络中有一台计算机C,地址为192.168.1.637，子网掩码255.255.255.0。假如计算机A试图PING计算机C，将会发生以下情况：计算机A将192.168.1.67与计算机自己子网掩码255.255.255.224逻辑与。在这种情况下，得到网络号为192.168.1.64。计算机A网络层故障的诊断及排除方法第16页1.2 网络层组件网络层组件判断此地址在另一个网络中，就会错误地将数据发送到它默认网关。这种情况故障极难排除。配置IP地址时，对配置进行再多检验也不过分：拼写错误经常是配置错误一个主要原因。正如前面例子所表示，不可能简单地确认一个工作站能够同别计算机之间能够正常通信。2.IP协议簇协议簇 TCP/IP包含有一些网络层协议，通常共用一个名字：IP。两个协议ICMP和ARP需要另外讨论，因为它们在处理问题过程中会有用。另外IP协议簇还包含传输层协议TCP。注意注意：有很多和IP相关协议，其中大部分被封装在IP报头中。1）ICMP:Ping和Trace协议 IP环境下，ICMP被用来传送状态与控制消息。经过使用PING命令用于验证与一个特定主机之间通信能力（以下列图）。路由器也用此命令来发送状态消息以取得目标主机或网络可用信息。网络层故障的诊断及排除方法第17页1.2 网络层组件网络层组件图5-4 PING命令回送响应消息报文 Trace命令一样利用ICMP，尽管与Ping命令有些不一样。ICMP被封装在IP协议里，这意味着它被包含在IP报头中。假如利用协议分析仪来捕捉全部IP数据包，能够捕捉到对应ICMP包。ICMP含有很多功效，但大多数人所知道是ICMP Echo与ICMP Reply。这些消息经过一个PING命令发出，并被PING目标返回。从结构上说，ICMP消息有如图5-5所描写形式。网络层故障的诊断及排除方法第18页1.2 网络层组件网络层组件数据链路报头 IP报头ICMP报头ICMP数据 FCS图5-5 ICMP消息格式正如数据链路报头包含着网络层报头（在此，为IP报头），IP报头也包含这ICMP报头。这是因为ICMP不可能单独存在。表5-2显示了ICMP报头包含有3个域，共4个字节长度。类型代码校验和标识队列号1字节1字节2字节2字节2字节表5-2 ICMP报头三个域中最主要是类型域。类型域通知了接收方工作站所包含 ICMP数据类型。假如需要话，下面代码域深入限制了类型域。举例来说，类型域可能表示消息是一个“目标地不能抵达”消息（如图5-6）。代码域则能够显示愈加详细信息，如是网络不可抵达还是主机或端口不可抵达（表5-3列出了惯用类型与代码域值），还有就是超时报文（如图5-7）网络层故障的诊断及排除方法第19页1.2 网络层组件网络层组件图6 目标主机不可达报文图7 超时报文网络层故障的诊断及排除方法第20页1.2 网络层组件网络层组件核验和域被用来保护ICMP消息。非常像CRC，核验和是一个经过计算消息内，从类型域开始数据字节得到16比特值。它能够检验可能因为交换机或路由器引发数据损坏。标志域和序列号域能够被用来匹配请求与回应。在很多ICMP消息类型中，这些域为0。跟踪序列号域就是ICMP数据，其长度可变。对于ICMP echo请求，数据通常是一个能够确认模式。如字母表中字母，还有在一些情况下为0。Windows在ping ICMP请求命令中使用字母表中字母，而在trace route ICMP请求中使用0。2）ARP：MAC地址协议地址解析协议（ARP）在TCP/IP中，通常被认为是一个单独网络层协议。实际上，因为它功效，ARP更像是存在于网络层链路层之间层。其协议结构以下：网络层故障的诊断及排除方法第21页1.2 网络层组件网络层组件1632 bitHardware TypeProtocol TypeHLenPlenOperationSender Hardware AddressSender Protocol AddressTarget Hardware AddressTarget Protocol Address图8 ARP协议结构 Hardware Type 指定一个硬件接口类型，为发送方请求响应所用。Protocol Type 指由发送方提供高级协议地址类型。Hlen 硬件地址大小。Plen 协议地址大小。网络层故障的诊断及排除方法第22页1.2 网络层组件网络层组件正如名字所暗示那样，ARP解析地址。当一个特定IP数据包到达了目标地所在网络以后，ARP被用于发觉了IP数据包MAC地址。在数据链路层帧头里被加入了主机物理地址以前，一条消息不可能被传送。假如一台使用TCP/IP协议计算机试图与另一台计算机进行通信，它必须知道接收方IP地址。IP地址通常是由应用程序给出，或是经过计算机名解析来取得。假如目标IP地址与源地址丰在于同一个网络中，发送方计算机将以数据链路广播形式，发送ARP请求。ARP请求被广播域中全部主机处理，含有所需IP地址主机将发送回一个包含本机MAC地址ARP回应。取得MAC地址以后,帧头能够组建,帧将被发送到目标地.假如计算机每一次发送IP数据包到目标地之前，都需要发送ARP广播，那么网络中对应于每一个包含有实际数据帧都存在一个ARP广播帧。这将是网络带宽巨大浪费。为了防止每发一个IP数据包到特定目标，都需要发送一个ARP请求，微机和其它设备将所得到MAC地址存放在ARP缓存中。这么计算机或路由器只需要向所通信网络层故障的诊断及排除方法第23页1.2 网络层组件网络层组件目标主机发送一个ARP广播即可。这处理了广播太多问题。不过遗憾是，基于设备对所取得MAC地址存放时间，它同时引发了另一个问题发生。让我们来分析这个问题。首先，必须记住为动态实体。计算机被安装与卸载，IP地址发生改变（尤其是当使用动态IP地址配置时），NIC卡被替换或从一台机器交换到另一台机器，等等。考虑到这么一个动态环境复杂性。构想假如有一台设备A试图利用IP向设备B发送文件。设备A发送一个ARP广播请求，而设备B则返回它MAC地址。设备A立刻将地址存放在缓存中，以备当前及心后通信所用。在文件刚被发出之后，技术员X将设备BNIC从10Mbps升级到100Mbps。设备A试图发送给设备B另一个文件，但这个却得到了超时结果。为何会这么呢？当NIC发生了改变，MAC地址也对应发生了改变。而设备A中存放是设备B原来旧MAC地址。网络层故障的诊断及排除方法第24页1.2 网络层组件网络层组件假如怀疑是ARP缓存问题，那么将有以下几个选择。能够简单地等候直到其中条目被更新。我们也能够强制让地址发生改变设备与其它设备进行通信，这么能够造成条目里内容被新值代替。另外，也能够清空ARP缓存，这将造成设备重新学习地址。3.传输控制协议（传输控制协议（Transmission Control Protocol,TCP）TCP协议主为了在主机间实现高可靠性包交换传输协议。TCP是面向连接端到端可靠协议。它支持各种网络应用程序。TCP对下层服务没有多少要求，它假定下层只能提供不可靠数据报服务，它能够在各种硬件组成网络上运行。TCP段以internet数据报形式传送。IP包头传送不一样信息域，包含源地址和目标地址。TCP头跟在internet包头后面，提供了一些专用于TCP协议信息。下列图是TCP包头格式图：网络层故障的诊断及排除方法第25页1.2 网络层组件网络层组件图9 TCP包头结构网络层故障的诊断及排除方法第26页1.2 网络层组件网络层组件源端口：16位；目标端口：16位序列码：32位，当SYN出现，序列码实际上是初始序列码（ISN），而第一个数据字节是ISN+1；确认码：32位，假如设置了ACK控制位，这个值表示一个准备接收包序列码；数据偏移量：4位，指示何处数据开始；保留：6位，这些位必须是0；控制位：6位；窗口：16位；校验位：16位；优先指针：16位，指向后面是优先数据字节；选项：长度不定；但长度必须以字节记；选项详细内容我们结合详细命令来看；填充：不定长，填充内容必须为0，它是为了确保包头结合和数据开始处偏移量能够被32整除；网络层故障的诊断及排除方法第27页1.2 网络层组件网络层组件1.2.4 UDP：用户数据报协议用户数据报协议（UDP）是ISO参考模型中一个无连接传输层协议，提供面向事务简单不可靠信息传送服务。UDP协议基本上是IP协议与上层协议接口。UDP协议适用端口分辨运行在同一台设备上多个应用程序。因为大多数网络应用程序都在同一台机器上运行，计算机上必须能够确保目标地机器上软件程序能从源地址机器处取得数据包，以及源计算机能收到正确回复。这是经过使用 UDP“端口号”完成。比如，假如一个工作站希望在工作站128.1.123.1上使用域名服务系统，它就会给数据包一个目标地址128.1.123.1，并在UDP头插入目标端口号53。源端口号标识了请求域名服务当地机应用程序，同时需要将全部由目标站生成响应包都指定到源主机这个端口上。UDP端口详细介绍能够参考相关文章。与TCP不一样，UDP并不提供对IP协议可靠机制、流控制以及错误恢复功效等。因为 UDP 比较简单，UDP头包含极少字节，比TCP负载消耗少。网络层故障的诊断及排除方法第28页1.2 网络层组件网络层组件 UDP适合用于不需要TCP可靠机制情形，比如，当高层协议或应用程序提供错误和流控制功效时候。UDP是传输层协议，服务于很多著名应用层协议，包含网络文件系统（NFS）、简单网络管理协议（SNMP）、域名系统（DNS）以及简单文件传输系统（TFTP）。UDP协议包标题结构以下：图10 UDP协议包标题结构网络层故障的诊断及排除方法第29页1.2 网络层组件网络层组件 Source Port 16位。源端口是可选字段。当使用时，它表示发送程序端口，同时它还被认为是没有其它信息情况下需要被寻址回复端口。假如不使用，设置值为0。Destination Port 16位。目标端口在特殊因特网目标地址情况下含有意义。Length 16位。该用户数据报八位长度，包含协议头和数据。长度最小值为8。Checksum 16位。IP 协议头、UDP 协议头和数据位，最终用0填补信息假协议头总和。假如必要话，能够由两个八位复合而成。Data 包含上层数据信息。网络层故障的诊断及排除方法第30页1.3 数据包捕捉与分析数据包捕捉与分析1.3.1 UDP：什么是数据包 “包”(Packet)是TCP/IP协议通信传输中数据单位，普通也称“数据包”。有些人说，局域网中传输不是“帧”(Frame)吗？没错，不过TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上，而帧是工作在第二层(数据链路层)。上一层内容由下一层内容来传输，所以在局域网中，“包”是包含在“帧”里。能够用一个形象一些例子对数据包概念加以说明：在邮局邮寄产品时，即使产品本身带有自己包装盒，不过在邮寄时候只用产品原包装盒来包装显然是不行。必须把内装产品包装盒放到一个邮局指定专用纸箱里，这么才能够邮寄。这里，产品包装盒相当于数据包，里面放着产品相当于可用数据，而专用纸箱就相当于帧，且一个帧中只有一个数据包。1.3.2数据包结构 1.IP数据包数据包网络层故障的诊断及排除方法第31页1.3 数据包捕捉与分析数据包捕捉与分析网络层处理数据单位是数据包。当需要处理设置或性能问题时，就需要了解IP是怎样将从上层来数据打包。一个数据包中有很多域。假如用协议分析仪得到了数据包，那么了解其中一些域含义将对了解网络中到底发生了什么有所帮助。这了有利于发觉造成性能损失原因。IP数据包（有时被成为数据报）是在数据被传送到数据链路层以前最终封装形式。当数据链路层从网络层接收到IP数据包时，帧被封装为Ethernet Version帧。Ethernet Version帧包含有2个字节被称为以太网类型字段。数据链路层将此字段设置为0 x800，以表示帧内包含有一个IP数据包。图11显示了一个包含有数据报帧格式。目标地址源地址以太类型0 x800IP报头数据FCS图11 Ethernet帧与IP数据报 IP报头长度在20到60字节之间。数据长度可变。一个以太帧中IP报头加上数据长度可从最小46字节到达最大1500字节。这是因为一个以太帧中，数据链路层报头加上FCS为18个字节，而最小以太网帧是64字节，最大帧为1518字节。网络层故障的诊断及排除方法第32页1.3 数据包捕捉与分析数据包捕捉与分析图12中为IP数据包，其中版本域长度为4个比特，表示了IP数据包版本。现在IP版本是4，通常被表示为Ipv4。下一个版本正在发展，为Ipv6。这个版本在很多方面，尤其是寻址方面，完全是一个崭新方式。即使现在Ipv6在Internet项目中取得了应用，但因为现在还未普及，这里将不做讨论。跟随在版本域后报头长度域也是4个比特。报头长度被表示为报头占据了多少个32比特，或可说4个字节数目。换句话说，假如报头长度域包含值是10，IP报头长度就是104字节，即40字节。因为报头长度域只有4个比特，最大IP报头为154字节，即60字节。这通常够用了，尽管有些命令可能会超出这个长度。接下来是业务类型（TOS）域，长度为1个字节。0-2位组成了优先级位，在大多数IP网络中被忽略。3-7位定义了TOS而且是相互排斥，这是说只有其中一个位能够被置1。若想对TOS位以及它们含义作用更深入研究，请参见RFC 1349。能够经过利用带选项vPING命令来试验TOS位功效。最终一个位不用，必须为1。网络层故障的诊断及排除方法第33页1.3 数据包捕捉与分析数据包捕捉与分析 16比专长度长度域描述了包含报头在内IP数据报整个长度。这个值加上18个字节以太网帧头表示了整个帧长度。IP数据包版本号4比特报头长度4比特服务类型1字节长度2字节标识符2字节标志3比特分段偏移量13比特生存时间1字节协议1字节报头效验和2字节源IP地址4字节目标IP地址4字节选项（可选）数据变量图12 IP数据包网络层故障的诊断及排除方法第34页1.3 数据包捕捉与分析数据包捕捉与分析长度域后面则是标识域。通常，每发送一个数据报，这个域中值便会加1。不过，当数据报被拆分时，此值也有用。在这种情况下，每一个组成数据报数据包包含有相同标识。经过比较标识域值，以及利用IP报头中，下面那个字节，标志域与分段偏移域，目标地能够将数据包重新组装起来。标志域控制了是否能够对IP数据报进行分段。当数据报长度大于介质或接收方所允许最大长度时，就需要将其分成更小部分，这时就叫数据报分段。标志域包含有3个比特，第一个比特总为0。第二个比特是Dont Fragment比特。当此比特被置为1，就不允许对数据报进行分段。而0则表示数据包能够被分段。在WINDOWS环境下，默认为不能分段。WINDOWS利用这个设置来调整数据报长度以匹配接收方或二者之间路由器所承受最大传输单位（MTU）。MTU定义了介质或网络层协议所能接收数据报大小。当一个设备收到一个IP报，而它长度大于所要使用介质所定义MTU，或大于接收设备所定义网络层故障的诊断及排除方法第35页1.3 数据包捕捉与分析数据包捕捉与分析 MTU，转接设备通常会将数据报分段以满足MTU。假如Dont Fragmet比特被置1，将返回给发送方一个ICMP消息，它将调整数据包长度并继续发送数据包直到没有收到ICMP消息。经过这种方式，WINDOWS自动地探测到目标地MTU。IP数据报分段可能会影响到性能与可靠性。假如一个数据报被分段成多个数据包，而其中，一个数据包丢失，或因为CRC错误而被丢弃，组成此数据报全部数据包都将要重传。这是因为IP没有方法来恢复一个丢失数据包。数据报恢复是在传输处理。性能一样会因为分段而造成伤害。这是因为对数据报分段与重组非常花费CPU周期。一个必需将大数据报分段以满足目标地MTU路由器将影响到它主要工作，即数据包（分组）交换。另外，一个必须重组数据报主机CPU将会丧失原来应更加好地应用在应用处理时间。标志域第3个比特通知接收方设备是否还有分段数据到来。1表示还有分段数据到来，而0表示这是最终一个分段（假如数据报没有被分段，此比特为0）。13个比特分段偏移比特表示了各分段在数据报中位置。分段偏移以8字节为单位，如值为100，则意味分段在数据报中位置为800。网络层故障的诊断及排除方法第36页1.3 数据包捕捉与分析数据包捕捉与分析生存时间域（TTL）决定了在数据包被丢弃之前，所能经过路由器数目。此域在初始主机处被设置为初始值，每经过一个路由器，此值减一。假如此值到达0，此数据包被丢弃，通常有一个ICMP超时消息发送给发送端。生存时间域初始值取决于操作系统。在Windows 98和Windows NT 4.0或更高版本中，默认值为128。Windows 95 和Windows N3.51中，默认值为32。TTL一样给接收方提供了一个方式，来通知发送源没有收到全部数据包。TTL能够被利用来看成一个计时器，每一秒减一。假如目标地没有收到一个数据报全部分段数据包，数据段TTL将降低到0,而目标地就发送一个ICMP消息来通知这个问题。接下来是8比特协议域。此域表示在IP数据报所对应上层协议或网络层中子协议（如ICMP）。一些通用协议以及它们值已列入表5-4中。我研究发觉已经有133个协议被定义;最大值为256。网络层故障的诊断及排除方法第37页1.3 数据包捕捉与分析数据包捕捉与分析 IP报头下一个域是报头校验和。这个16比特值只被用来作为对IP报头完整性检验。数据并不受此校验和保护。数据保护是由上层协议来完成。下面两个域是4字节源目标IP地址域。报头中最终一个域是可变长度选项域。选项域长度从0到40字节。通常为0字节，表示没有特殊选项。IP不可能独自工作。一个IP数据报中普通包含有协议字段中所定义另一个协议。另外，IP需要一个帮助协议，称为ARP，来将IP地址转换为物理地址。协议简述协议域值ICMP网络控制报文协议1IGMP网络组管理协议2IP in IPIP封装IP4TCP传输控制协议6EGP外部网关协议8UDP用户数据报协议17Ipv6 over Ipv4Ipv4中封装IPv641表4 常见IP协议网络层故障的诊断及排除方法第38页1.3 数据包捕捉与分析数据包捕捉与分析2.ARP报文结构报文结构ARP协议报文结构如图13。硬件类型协议类型硬件长度协议长度操作请求1，回答2发送站硬件地址（比如：对以太网是6字节）发送站协议地址（比如：对IP是4字节）目标硬件地址（比如：对以太网是6字节）目标协议地址（比如：对IP是4字节）图13 ARP报文结构网络层故障的诊断及排除方法第39页1.3 数据包捕捉与分析数据包捕捉与分析1.3.3数据包捕捉机制从广义角度上看，一个包捕捉机制包含三个主要部分：最底层是针对特定操作系统包捕捉机制，最高层是针对用户程序接口，第三部分是包过滤机制。不一样操作系统实现底层包捕捉机制可能是不一样，但从形式上看大同小异。数据包常规传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最终抵达应用程序。而包捕捉机制是在数据链路层增加一个旁路处理，对发送和接收到数据包做过滤/缓冲等相关处理，最终直接传递到应用程序。值得注意是，包捕捉机制并不影响操作系统对数据包网络栈处理。对用户程序而言，包捕捉机制提供了一个统一接口，使用户程序只需要简单调用若干函数就能取得所期望数据包。包过滤机制是对所捕捉到数据包依据用户要求进行筛选，最终只把满足过滤条件数据包传递给用户程序。绝大多数当代操作系统都提供了对底层网络数据包捕捉机制，在捕捉机制之上能够建立网络监控（Network Monitoring）应用软件。网络监控也常简称为sniffer,其最初网络层故障的诊断及排除方法第40页1.3 数据包捕捉与分析数据包捕捉与分析目标在于对网络通信情况进行监控，以对网络一些异常情况进行调试处理。但伴随互连网快速普及和网络攻击行为频繁出现，保护网络运行安全也成为监控软件另一个主要目标。比如，网络监控在路由器，防火墙、入侵检验等方面使用也很广泛。除此而外，它也是一个比较有效黑客伎俩，比如，美国政府安全部门肉食动物计划。1.3.4数据包捕捉数据包捕捉技术是网络管理关键技术之一，捕捉到数据包就能从中分析出当前网络状态，也能从中诊疗整个网络健康情况，从而找到排除故障方法到达维护网络正常工作目标。数据包捕捉工具很多，在此以Sniffer为例来分析报文捕捉过程。Sniffer软件功效：捕捉网络流量进行详细分析；利用教授分析系统诊疗问题；实时监控网络活动；搜集网络利用率和错误等。网络层故障的诊断及排除方法第41页1.3 数据包捕捉与分析数据包捕捉与分析1.3.5数据包分析捕捉数据包后分析工作，要停顿sniffer捕捉包时，点选CaptureStop或者CaptureStop and Display,前者停顿捕捉包，后者停顿捕捉包并把捕捉数据包进行解码和显示。图14 Sniffer分析界面 Sniffer软件提供了强大分析能力和解码功效。如上图所表示，对于捕捉报文提供了一个Expert教授分析系统进行分析，还有解码选项及图形和表格统计信息。网络层故障的诊断及排除方法第42页1.3 数据包捕捉与分析数据包捕捉与分析 1.3.6数据包详解 1.数据报文分层数据报文分层应用层Telnet、FTP、E-mail传输层TCP、UDP网络层IP、ICMP、TGMP网络链路层设备驱动程序及接口卡图15 四层网络结构 2.以太报文结构解码以太报文结构解码 EthernetII以太网帧结构:图16 以太网帧结构网络层故障的诊断及排除方法第43页1.3 数据包捕捉与分析数据包捕捉与分析 Sniffer会在捕捉报文时候自动统计捕捉时间，在解码显示时显示出来，在分析问题时提供了很好时间统计。源目标MAC地址在解码框中能够将前3字节代表厂商字段翻译出来，方便定位问题，比如网络上2台设备IP地址设置冲突，能够经过解码翻译出厂商信息方便将故障设备找到，如00e0fc为华为，010042为Cisco等等。假如需要查看详细MAC地址用鼠标在解码框中点击此MAC地址，在下面表格中会突出显示该地址16进制编码。3.IP协议包解码协议包解码 IP报文结构为IP协议头载荷，其中对IP协议头部分析为分析IP报文主要内容之一，这里给出了IP协议头部一个结构。网络层故障的诊断及排除方法第44页1.3 数据包捕捉与分析数据包捕捉与分析图17IP协议头部结构网络层故障的诊断及排除方法第45页1.3 数据包捕捉与分析数据包捕捉与分析 4.ARP协议包解码协议包解码 ARP协议为网络层IP包主要组成部分，下面是对ARP解码ARP请求和应答报文结构。图18 Sniffer解码ARP请求网络层故障的诊断及排除方法第46页1.3 数据包捕捉与分析数据包捕捉与分析图19 应答报文结构网络层故障的诊断及排除方法第47页1.4 网络层故障诊疗与排除网络层故障诊疗与排除网络层提供建立、保持和释放网络层连接伎俩，包含路由选择、流量控制、传输确认、中止、差错及故障恢复等。网络层故障主要集中在路由上，所以，排除网络层故障基本方法是：沿着从源到目标路径，查看路由器路由表，同时检验路由器接口IP地址。假如路由没有在路由表中出现，应该经过检验来确定是否已经输入适当静态路由、默认路由或者动态路由。然后手工配置一些丢失路由，或者排除一些动态路由选择过程故障，包含RIP或者IGRP路由协议出现故障。比如，对于IGRP路由选择信息只在同一自治系统号（AS）系统之间交换数据，查看路由器配置自治系统号匹配情况。1.4.1 RIP故障诊疗与维护在网络上测定IP连通性最惯用方法是ping 命令。从源端向目标端发送ping 命令成功，就意味着全部物理层、数据链路层、网络层功效均正常运转。而当IP连通失败，首先要检验是源到目标间全部物理连接是否正常、全部接口和线路协议是否运行。当物理层和数据链路层检验无误后，则将排错重点转向网络层，假定此网络运行路由协议为RIP，那么普通故障处理步骤以下：网络层故障的诊断及排除方法第48页1.4 网络层故障诊疗与排

展开阅读全文