《网络协议从入门到底层原理》笔记（五）网络层、网络层首部

第一章 网络层概述

网络层向上只提供简单灵活的、无连接的、尽最大努力交付的数据报服务。
网络在发送分组时不需要先建立连接。每一个分组（即 IP 数据报）独立发送，与其前后的分组无关（不进行编号）。
网络层不提供服务质量的承诺。即所传送的分组可能出错、丢失、重复和失序（不按序到达终点），当然也不保证分组传送的时限。

• 由于传输网络不提供端到端的可靠传输服务，这就使网络中的路由器可以做得比较简单，而且价格低廉（与电信网的交换机相比较）。
• 如果主机（即端系统）中的进程之间的通信需要是可靠的，那么就由网络的主机中的运输层负责可靠交付（包括差错处理、流量控制等） 。
• 网络的造价大大降低，运行方式灵活，能够适应多种应用。

网络层数据包（IP数据包，Packet）由 首部、数据 两部分组成
数据：很多时候是由传输层传递下来的数据段（Segment）

第二章 网络层首部

版本（Version）

•     占4位
•     0b0100：IPv4
•     0b0110：IPv6

首部长度（Header Length）

•     占4位，二进制乘以4才是最终长度
•     0b0101：20（最小值）
•     0b1111：60（最大值）

区分服务（Differentiated Services Field）

•     占8位
•     可以用于提高网络的服务质量（QoS，Quality of Service），这个了解即可

总长度（Total Length）

•     占16位
•     首部 + 数据的长度之和，最大值是 65535字节
•     总长度必须不超过最大传送单元MTU

标识（Identification）

•     占16位
•     数据包的ID，当数据包过大进行分片时，同一个数据包的所有片的标识都是一样的
•     是一个计数器专门管理数据包的ID，每发出一个数据包，ID就加1

标志（Flags）

•     占3位
•     第1位（Reserved Bit）：保留
•     第2位（Don’t Fragment）：1代表不允许分片，0代表允许分片
•     第3位（More Fragments）：1代表不是最后一片，0代表是最后一片

片偏移（Fragment Offset）

• 占13位
• 片偏移乘以8：字节偏移（wireshark显示的是字节偏移）
• 每一片的长度一定是8的整数倍

IP数据报分片

一数据报的总长度为 3820 字节，其数据部分的长度为 3800 字节（使用固定首部），需要分片为长度不超过 1420 字节的数据报片。
因固定首部长度为 20 字节，因此每个数据报片的数据部分长度不能超过 1400 字节。
于是分为 3 个数据报片，其数据部分的长度分别为 1400、1400 和 1000 字节。
原始数据报首部被复制为各数据报片的首部，但必须修改有关字段的值。

生存时间（Time To Live，TTL）

• 占8位
• 每个路由器在转发之前会将TTL减1，一旦发现TTL减为0，路由器会返回错误报告
• 观察使用 ping 命令后的TTL，能够推测出对方的操作系统、中间经过了多少个路由器

协议（Protocol）

• 占8位
• 表明所封装的数据是使用了什么协议

首部校验和（Header Checksum）

• 用于检查首部是否有错误

第三章 网际控制报文协议 ICMP

为了更有效地转发 IP 数据报和提高交付成功的机会，在网际层使用了网际控制报文协议 ICMP (Internet Control Message Protocol)。

• ICMP 是互联网的标准协议。
• ICMP 允许主机或路由器报告差错情况和提供有关异常情况的报告。
• 但 ICMP 不是高层协议（看起来好像是高层协议，因为 ICMP 报文是装在 IP 数据报中，作为其中的数据部分），而是 IP 层的协议。

PING (Packet InterNet Groper)

• PING 用来测试两个主机之间的连通性。
• PING 使用了 ICMP 回送请求与回送回答报文。
• PING 是应用层直接使用网络层 ICMP 的例子，它没有通过运输层的 TCP 或UDP。

ping /? 查看ping的用法
ping ip地址 -l 数据包大小 发送指定大小的数据包(ping www.baidu.com -l 1400)
ping ip地址 -f 不允许网络层分块 (ping www.baidu.com -l 2000 -f)

第四章 实战

Wireshark抓包

向百度发送800字节的数据包

通过 Wireshark 抓包查看 ping www.baidu.com 发送的包

通过 ping 命令，实际上发送了4次 ICMP数据包：

通过 Wireshark 可以证实：

 完整网络层

首部占20个字节，为了发送ICMP数据包还要再占8个字节

根据TTL追踪经过路由器

这里的TTL是47，如果是linux服务器默认值是64，可能经过17个路由器？

ping ip地址 -i TTL 设置TTL的值
通过 tracert、pathping 命令，可以跟踪数据包经过了哪些路由器

ping baidu.com -i 1 经过1次就消亡，第一个路由器再转发前减一变为0，不给转返回错误报告，由网关回复。

通过 ping baidu.com -i 1、ping baidu.com - i 2、ping baidu.com -i 3 …

一点一点增大TTL

可以追踪发包到百度经过的路由器。

tracert 和 pathping 命令实际上更简单也可以追踪路由器：
tracert baidu.com
pathping baidu.com