实验四： ARP协议分析

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,BUPT,实验4.1 ARP协议分析,ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。,IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。,1.ARP和RARP报头结构,ARP和RARP使用相同的报头结构,硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；,协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；,硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；,操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；,发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节；,发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节；,发送方IP（0-1字节）：源主机硬件地址的前2个字节；,发送方IP（2-3字节）：源主机硬件地址的后2个字节；,目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；,目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；,目的IP（0-3字节）：目的主机的IP地址。,ARP的工作原理如下：,1.首先，每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。,2.当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。,3.网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；,4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败,Arp s添加静态ARP缓存表项，该表项是永久性的，除非用arp d删除；,动态arp缓存表项有有限的生存时间，在pc上ping某ip后，获得该ip的mac地址后，Arp a观察动态arp缓存的生存时间；观察在2分钟内未使用该arp表项的话，该表项会被自动删除，如果在2分钟内使用了该表项，会从使用之时起，该表项的生存时间再延长2分钟。,1、关于arp缓存表项的生存期(有效时间),在默认情况下，Windows Server 2003家族和Windows XP中，ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到，则其期限再延长2分钟，直到最大生命期限10分钟为止。超过10分钟的最大期限后，ARP缓存表项将被移出，并且通过另外一个ARP请求ARP回应交换来获得新的对应关系。,2、无偿ARP和重复的IP地址检测,ARP可以被用来检测重复的IP地址，这是通过传送一种叫做无偿ARP的ARP请求来完成的。无偿ARP就是一个发往自己IP地址的ARP请求。在无偿ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。,如果节点发送一个发往自己IP地址的ARP请求，就不应收到任何一个ARP回应帧，这样节点就可以判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求，结果收到ARP回应，这样此节点就可以判断有另外一个节点使用同样的IP地址。,如果发送了3个无偿ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络段中是唯一的。,步骤：,arp d删除所有表项；ping 某个ip，触发arp过程；用ethereal观察arp过程；arp a观察mac地址。,用ethereal观察arp分组。,在一台PC1上设置IP，然后在另一个PC2上设置相同的IP，用ethereal抓arp包，会发现pc2在设置完IP后，会首先发送一个无偿arp请求，pc1收到后，会向pc2回复，在重复这样三次后，就可以确定网络内具有与之相同的ip主机，pc2就无法初始化其tcp/ip协议栈了。,实验4.2 ICMP协议分析,ICMP协议属于网络层协议，用于在IP主机与路由器之间传递网络是否通畅、主机是否可达、路由是否可用等控制消息。ICMP的全称是 Internet Control Message Protocol。从技术角度来说，ICMP就是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况也能确保连线的准确性其功能主要有：,侦测远端主机是否存在。,建立及维护路由资料。,重导资料传送路径。,资料流量控制,消息格式：,1.回送或回送响应,我们使用一个ICMP ECHO数据包来探测主机地址是否存活（当然在主机没有被配置为过滤ICMP形式），通过简单的发送一个ICMP ECHO(Type 8)数据包到目标主机，如果ICMP ECHO Reply(ICMP type 0)数据包接受到，说明主机是存活状态。如果没有就可以初步判断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY。这种机制就是我们通常所用的ping命令来检测目标主机是否可以ping到.回送消息的源地址是回送响应消息的目的地址。若要形成一个回送响应消息，应该将源和目的地址交换，将类型代码更改为0，重新计算机校验码。,类型：8代表回送消息；0代表回送响应消息。代码：0,2.超时报文,类型：11代码：0=传送超时；1=分段级装超时,3.目标主机不可达报文,类型：3代码：0=网络不可达；1=主机不可达；2=协议不可用；3=端口不可达；4=需要段和DF设置；5=源路由失败；,步骤：,1、分析上次课ping命令中的ICMP分组；,2、用ping命令探测网络上较远的结点，但把TTL设置较小(如本例中的3)，如：ping i 3 59.66.110.1，察看返回信息，并用ethereal看59.66.110.1返回的ICMP超时信息，看ICMP分组内容。,3、再ping其它的主机，实现不可达的返回消息。,实验4.3 数据包收发的整个流程,两台同一网络中PC机之间的数据包收发过程,两台不同局域网中PC机之间数据收发的过程,可以用ping来做实验,两台同一网络中PC机之间的数据包收发过程,实验过程中记得先把双方的arp表清除掉,要写出详细的流程,两台不同局域网中PC机之间数据收发的过程,由于不在同一局域网中的PC机不好找，可以通过ping,这样的方式来观察PC,机向外部网发送数据的过程，以及路由器返回给PC机的过程。通过这个过程来推测出两台不在同一局域网中PC机之间的通信过程。,实验5,在实验室的网络环境中进行实际路由器的配置,实验室的网络环境,实验方案,实验方案,十五台机器配置一个子网,一个子网中有4台路由器,一个juniper-4350,一个或两个cisco-2800,一个或两个h3c,自己设计实验方案，,可以让子网中的pc机互通,子网中不同路由器之间学习路由,或者不同子网间互通,自学一些juniper和h3c的配置命令,一个小组一起配置,采用4台终端接入服务器,服务器地址：,192.168.0.91,192.168.0.92,192.168.0.94,192.168.0.95,每台终端服务器有24个接口,每个接口连接到一个设备的console口上,端口映射,物理端口 1 -逻辑端口 3000,telnet 192.168.0.91 3000,H3c简单配置命令,命令简介,旧,新,解释,show,display,显示,no,undo,删除,/,取消,user,local-user,新建用户,end,return,退回到系统视图,exit,quit,返回上级视图,exit,logout,telnet,的推出,命令简介,router rip,rip,启动,rip,router ospf,ospf,启动,ospf,router bgp,bgp,启动,bgp,hostname,sysname,设置主机名字,access-list,acl,控制访问列表,write,save,保存配置,erase,delete,删除配置,命令简介,0,simple,明文,7,cipher,密文,host,ip host,host,名字和,ip,地址对应,logging,info-center,日志信息,encapslution,link-pro,封装链路层协议,show version,disp version,显示版本,show run,disp current-configuration,显示当前配置,show tech-support,disp base-information,显示全面的信息,show start,disp saved-configuration,显示已保存的配置,2),显示系统状态信息,利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：,显示系统配置信息的命令,显示系统运行状态的命令,显示系统统计信息的命令,操作,命令,显示系统版本,display version,slot-id,显示详细的系统版本信息,vrbd,显示系统时钟,display clock,显示终端用户,display users all,显示起始配置信息,display saved-configuration,显示当前配置信息,display current-configuration,显示当前系统内存使用情况,display memory,配置cisco静态路由：,en,conf t,interface G0/0,CISCO2821-RACK5(config-if)#ip address 10.1.1.1 255.255.255.0,CISCO2821-RACK5(config-if)#no shutdown,CISCO2821-RACK5(config)#ip route 10.1.4.0 255.255.255.0 10.1.1.2,配置H3C静态路由：,System-view,H3Cinterface Ethernet5/0,H3C-Ethernet5/0ip address 10.1.2.2 255.255.255.0,H3Cip route-static 10.1.1.0 255.255.255.0 10.1.2.1,配置juniper静态路由：,登陆用户名,JuniperJ4350-RACK5(ttyd0),login:root,-JUNOS 8.2R1.7 built 2007-01-17 02:40:57 UTC,rootJuniperJ4350-RACK5%,rootJuniperJ4350-RACK5%cli,rootJuniperJ4350-RACK5,rootJuniperJ4350-RACK5 configure,Entering configuration mode,rootJuniperJ4350-RACK5#set interfaces fe-0/0/3 unit 0