《計算機網絡-第7版-謝希仁》學習筆記：網絡層

二、網絡層

1、網絡層提供的兩種服務

網絡層向傳輸層提供虛電路服務和數據報服務

虛電路服務：

虛電路表示這只是一條邏輯上的連接，H1發送給H2的所有分組都沿着同一條虛電路傳送

數據報服務：

H1發送給H2的分組可能沿着不同路徑傳送

虛電路與數據報服務比較：

2、網際協議IP

與IP協議配套使用的還有三個協議：地址解析協議ARP、網際控制報文協議ICMP、網際組管理協議IGMP

ARP畫在最下面，因爲IP經常要使用這個協議。ICMP和IGMP畫在這一層的上部，因爲它們要使用IP協議

1）、虛擬互聯網絡

網絡互連的設備：

物理層中繼系統：轉發器
數據鏈路層中繼系統：網橋或橋接器
網絡層中繼系統：路由器
網絡層以上的中繼系統：網關

2）、IP地址

層次化IP地址將32位的IP地址分爲網絡號和主機號

A類、B類和C類地址的網絡號字段分別爲1個、2個和3個字節長，而在網絡號字段的最前面有1-3位的類別位，其數值分別規定爲0、10和110
A類、B類和C類地址的主機號字段分別爲3個、2個和1個字節長
D類地址用於多播
E類地址保留爲以後用

上圖中畫出了三個局域網（ $LAN_1$ 、 $LAN_2$ 和 $LAN_3$ ）通過三個路由器（ $R_1$ 、 $R_2$ 和 $R_3$ ）互連起來所構成的一個互聯網。其中局域網 $LAN_2$ 是由兩個網段通過網橋B互連的

1）在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的

2）用網橋互連的網段仍然是一個局域網，只能有一個網絡號

3）路由器總是具有兩個或兩個以上的IP地址。即路由器的每一個接口都有一個不同網絡號的IP地址

3）、IP地址與硬件地址

IP地址與MAC地址的區別：

主機H1和主機H2通信過程：

1）在IP層抽象的互聯網上只能看到IP數據報。雖然IP數據報要經過路由器R1和R2的兩次轉發，但在它的首部中的源地址和目的地址始終分爲是 $IP_1$ 和 $IP_2$

2）雖然在IP數據報首部有源站IP地址，但路由器只根據目的站的IP地址的網絡號進行路由選擇

3）在局域網的鏈路層，只能看見MAC幀。IP數據報被封裝在MAC幀中，MAC幀在不同網絡上傳送時，其MAC幀首部中的源地址和目的地址要發生變化

4）MAC地址決定了數據幀下一跳哪個設備接收，而IP地址決定了數據包的起點和重點

4）、地址解析協議ARP

ARP協議是爲了從網絡層使用的IP地址，解析出在數據鏈路層使用的硬件地址
RARP協議的作用是將局域網中某個主機的物理地址轉換爲IP地址

每一臺主機都設有一個ARP高速緩存，裏面有本局域網上的各主機和路由器的IP地址到硬件地址的映射表

當主機A要向本局域網上的某臺主機B發送IP數據報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如果有，就在ARP高速緩存中查出其對應的硬件地址，再把這個硬件地址寫入MAC幀，然後通過局域網把該MAC幀發往此硬件地址

如果查不到主機B的IP地址，按照如下步驟找出主機B的硬件地址：

1）ARP進程在本局域網上發送一個ARP請求分組，主要內容是：“我的IP地址是209.0.0.5，硬件地址是00-00-C0-15-AD-18。我想知道IP地址爲209.0.0.6的硬件地址”

2）在本局域網上的所有主機上運行的ARP進程都收到此ARP請求分組

3）主機B的IP地址與ARP請求分組中要查詢的IP地址一致，就收下這個ARP請求分組，並向主機A發送ARP響應分組，同時在這個ARP響應分組中寫入自己的硬件地址。由於其他的所有主機的IP地址都與ARP請求分組中要查詢的IP地址不一致，因此都不理睬這個ARP請求分組。ARP響應分組的主要內容是：“我的IP地址是209.0.0.6，我的硬件地址是08-00-2B-00-EE-0A”。ARP請求分組是廣播發送的，ARP響應分組是普通的單播，即從一個源地址發送到一個目的地址

4）主機A收到主機B的ARP響應分組後，就在其ARP高速緩存中寫入主機B的IP地址到硬件地址的映射

5）、IP數據報的格式

一個IP數據報由首部和數據兩部分組成

首部的前一部分是固定長度，共20字節，是所有IP數據報必須有的
在首部的固定部分的後面是一些可選字段，其長度是可變的

首部各字段含義：

1）版本：佔4位，說明該IP數據報使用的IP協議的版本，通信雙方必須使用同一個IP協議版本

2）首部長度：佔4位，可表示的最大十進制數值是15，首部長度字段所表示數的單位是4字節，所以IP數據報首部長度爲20-60字節；因爲IPv4中首部存在可變部分，所以需要指出首部的長度以劃分首部與數據部分，以4字節爲單位，不是4的整倍數時要填充至整倍數

3）區分服務：佔8位，只在區分服務時才起作用，一般不

4）總長度：佔16位，說明該IP數據報的總長度（首部+數據）。IP數據報封裝爲MAC幀時受限於MAC幀的長度上限，所以IP數據報還存在分片操作，即將IP數據報分爲多片，封裝進多個MAC幀。因此IP數據報最大長度 $2^{16}-1=65535$ 字節

5）標識：佔16位，IP數據報若存在分片，則接收方需要將各分片組合出原IP數據報，相同標識號的IP數據報就說明它們其實是同一個源IP數據報

6）標誌：佔3位，目前只有前兩位有意義，最低位爲MF（More Fragment），若MF=1則說明該數據報後面還有分片。中間一位爲DF（Don’t Fragment），若DF=1則不能分片，只有DF=0纔可以分片

7）片偏移：佔13位，用於說明該IP數據報（已分片）在源IP數據報中的相對位置（相對於數據字段的起點），單位是8字節，每個分片一定是8字節的整倍數

一個數據報的總長度爲3820字節，其數據部分爲3800字節長，需要分片爲長度不能超過1400字節。於是分爲3個數據報片，其數據部分的長度分別爲1400，1400和1000字節

8）生存時間：IP分組在網絡中傳遞時有可能出現兜圈子的情況，所以需要對IP數據報進行一定的限制，生存時間的單位是跳數，最大值爲255，每經過一個路由器，路由器便將IP數據報的生存時間-1，當IP數據報中的生存時間爲0時，路由器丟棄該分組

9）協議：說明該IP數據報的上層協議類型，如IP對應4，TCP對應6，UDP對應17

10）首部校驗和：驗證首部是否存在傳輸錯誤，只檢驗首部，不包括數據部分，數據報每經過一個路由器，路由器都要重新計算一下首部校驗和

在發送方，先把IP數據報首部劃分爲許多16位字的序列，並把校驗和字段置爲零。用反碼算術運算把所有16位字相加後，將得到的和的反碼寫入校驗和字段。接收方收到數據報後，將首部的所有16位字再使用反碼算術運算相加一次。將得到的和取反碼，即得出接收方校驗和的計算結果。若首部未發生任何變化，則此結果必爲0，於是就保留這個數據報。否則即認爲出差錯，並將此數據報丟棄

反碼算數運算：從低位到高位逐列進行計算。0和0相加是0，0和1相加是1，1和1相加是0，但要產生一個進位1，加到下一列。如果最高位相加後產生進位，則最後得到的結果要加1

1）反碼運算時，其符號位與數值一起參加運算

2）反碼的符號位相加後，如果有進位出現，則要把它送回到最低位去相加（循環進位）

3）用反碼運算，其運算結果亦爲反碼。在轉換爲真值時，若符號位爲0，數位不變；若符號位爲1，應將結果求反纔是其真值

這裏的反碼和有符號反碼不一樣，這裏不分正負數，直接每個爲都取反

11.源地址

12）目的地址

13）可變部分：長度爲1-40字節，IP地址中的可變部分可用於支持很多操作，但很多情況都用不上，而且會增加路由器處理分組的開銷，所以IPv6中的數據報首部做成了固定長度

6）、IP層轉發分組的流程

在路由表中，對每一條路由最主要的是以下兩個信息：目的網絡地址、下一跳地址

1）IP數據報最終一定可以找到目的主機所在目的網絡上的路由器（可能要通過多次的間接交付）

2）只有到達最後一個路由器時，才試圖向目的主機進行直接交付

分組轉發算法如下：

1）從數據報的首部提取目的主機的IP地址D，得出目的網絡地址N

2）若N就是與此路由器直接相連的某個網絡地址，則進行直接交付，不需要再經過其他的路由器，直接把數據報交付目的主機（這裏包括把目的主機地址D轉換爲具體的硬件地址，把數據報封裝爲MAC幀，再發送此幀）；否則就是間接交付，執行3）

3）若路由表中有目的地址爲D的特定主機路由，則把數據報傳送給路由表中所指明的下一跳路由器；否則執行4）

4）若路由表中有到達網絡N的路由，則把數據報傳送給路由表中所指明的下一跳路由器；否則執行5）

5）若路由表中有一個默認路由，則把數據報傳送給路由表中所指明的默認路由器；否則執行6）

6）報告轉發分組出錯

3、劃分子網和構成超網

1）、劃分子網

劃分子網的基本思路：

1）一個擁有許多物理網絡的單位，可將所屬的物理網絡劃分成若干個子網。劃分子網純屬一個單位內部的事情，這個單位對外仍然表現爲一個網絡

2）劃分子網的方法時從網絡的主機號借用若干位作爲子網號，當然主機號也就相應減少了同樣的位數

3）凡是從其他網絡發送給本單位某臺主機的IP數據報，仍然是根據IP數據報的目的網絡號找到連續在本單位網絡上的路由器。但此路由器在收到IP數據報後，再按目的網絡號和子網號找到目的地，把IP數據報交付目的主機

上圖表示某單位擁有一個B類IP地址，網絡地址是145.13.0.0（網絡號是145.13），但凡目的地址爲145.13.x.x的數據報都被送到這個網絡上的路由器R1

先把該網絡劃分爲三個子網，假定子網號佔用8位，因此在增加了子網號後，主機號就只有8位。所劃分的三個字網分別是：145.13.3.0、145.13.7.0和145.13.21.0。在劃分子網後，整個網絡對外部仍表現爲一個網絡，其網絡地址仍爲145.13.0.0。但網絡145.13.0.0上的路由器R1在收到外來的數據報後，再根據數據報的目的地址把它轉發到相應的子網

劃分子網只是把IP地址的主機號這部分進行再劃分，而不改變IP地址原來的網絡號

子網掩碼：

子網掩碼用來找出IP地址中的子網部分，長度爲32位，原IP中網絡號和子網部分置爲1，主機號部分置爲0

IP地址 AND 子網掩碼 = 網絡地址

默認子網掩碼：在不進行子網劃分時，也要給出子網掩碼，就用默認子網掩碼

使用子網時分組的轉發：

子網劃分後的路由表包含：目的網絡地址、子網掩碼、下一跳地址

1）從收到的數據報首部提取目的IP地址D

2）先判斷是否爲直接交付。對路由器直接相連的網絡進行逐個檢查：用各網絡的子網掩碼和D逐位相與，看結果是否和相對應的網絡地址匹配。若匹配，則把分組進行直接交付，轉發任務結束。否則就是間接交付，執行3）

3）若路由表中有目的地址爲D的特定主機路由，則把數據報傳送給路由表中所指明的下一跳路由。否則執行4）

4）對路由表的每一行，用其中的子網掩碼和D逐位相與，其結果爲N。若N與該行的目的網絡地址匹配，則把數據報傳送給該行指明的下一跳路由器；否則執行5）

5）若路由表中有一個默認路由，則把數據報傳送給路由表中所指明的默認路由器；否則執行6）

6）報告轉發分組出錯

2）、無分類編址CIDR（構造超網）

CIDR消除了傳統的A類、B類和C類地址以及劃分子網的概念。它把32位的IP地址劃分爲前後兩個部分，前面部分是網絡前綴，用來指明網絡，後面部分則用來指明主機

CIDR還使用斜線記法，或稱爲CIDR記法，即在IP地址後面加上斜線/，然後寫上網絡前綴所佔的位數

CIDR把網絡前綴都相同的連續的IP地址組成一個CIDR地址塊。只要知道CIDR地址塊中的任何一個地址，就可以知道這個地址塊的起始地址和最大地址，以及地址塊中的地址數

例如，已知IP地址128.14.35.7/20是某CIDR地址塊中的一個地址，其中的前20位是網絡前綴，而前綴後面的12位是主機號

斜線記法中，斜線後面的數字就是地址掩碼中1的個數

由於一個CIDR地址塊中有很多地址，所以在路由表中就利用CIDR地址塊來查找目的網絡。這種地址的聚合稱爲路由聚合或構成超網，它使得路由表中的一個項目可以表示原來傳統分類地址的很多個路由。路由聚合有利於減少路由器之間的路由選擇信息的交換，從而提高了整個互聯網的性能

該ISP由64個C類地址，若不採用CIDR技術，則在與該ISP的路由器交換路由信息的每一個路由器的路由表中，就需要由64個項目，採用地址聚合後，只需用路由聚合後的一個項目206.0.64.0/18就能找到該ISP

該大學需要800個IP地址，因 $2^{10}-2>800$ ，所以主機位應取10位，前22位作爲網絡前綴，由於子網全0默認不可用，故從206.0.68.0/22開始

最長前綴匹配：

用收到的目的地址與路由表中的每條掩碼依次相與，取最長前綴匹配項的地址作爲下一跳

因爲前綴越長，其地址塊就越小，因而路由就越具體

二叉線索樹：

將路由表中各IP地址構成一個01字典樹，也稱爲二叉線索樹，能極大優化路由表匹配過程

4、網際控制報文協議ICMP

ICMP允許主機或路由器報告差錯情況和提供有關異常情況的報告

ICMP報文有兩種：ICMP差錯報告報文和ICMP詢問報文

常見差錯報告報文：終點不可達、時間超過、參數問題、改變路由（重定向）

把收到的需要進行差錯報告的IP數據報的首部和數據字段的前8個字段提取出來，作爲ICMP報文的數據字段。再加上相應的ICMP差錯報告報文的前8個字節，就構成了ICMP差錯報告報文

不發送ICMP差錯報告報文的情況：

1）對ICMP差錯報告報文，不再發送ICMP差錯報告報文

2）對第一個分片的數據報片的所有後續數據報片，都不發送ICMP差錯報告報文

3）對具有多播地址的數據報，都不發送ICMP差錯報告報文

4）對具有特殊地址（如127.0.0.0或0.0.0.0）的數據報，不發生ICMP差錯報告報文

常用的ICMP詢問報文：

1）回送請求和回答：ICMP回送請求報文是由主機或路由器向一個特定的目的主機發出的詢問，收到此報文的主機必須給源主機或路由器發送ICMP回送回答報文，這種詢問報文用來測試目的站是否可達以及瞭解其狀態

2）時間戳請求和回答：ICMP時間戳請求報文是請某臺主機或路由器回答當前的日期和時間，再ICMP時間戳回答報文中有一個32位的字段，其中寫入的整數代表從1900.1.1到當前時刻一共多少秒，用於時鐘同步和時間測量

5、互聯網的路由選擇協議

1）、內部網關協議RIP

RIP是一種分佈式的基於距離向量的路由選擇協議，要求網絡中的每一個路由器都要維護從它自己到其他每一個目的網絡的距離記錄

距離（跳數）：從一路由器到直接連接的網絡的距離定義爲1；從一路由器到非直接連接的網絡的距離定義爲所經過的路由器數加1

RIP認爲好的路由就是它通過的路由器的數目少，即距離短。RIP允許一條路徑最多隻能包含15個路由器，因此距離等於16時相當於不可達

RIP不能在兩個網絡之間同時使用多條路由，RIP選擇一條具有最少路由器的路由（即最短路由），哪怕還存在另一條高速（低時延）但路由器較多的路由

RIP協議的特點：

1）僅和相鄰路由器交換信息

2）路由器交換的信息是當前本路由器現在的路由表

3）按固定的時間間隔交換路由信息

剛開始時只知道直連網絡的距離，路由表爲空，以後，每個路由器只和數目有限的相鄰路由器交互並更新路由信息，經過若干次更新後，所有路由器最終會知道到達本自治系統其他路由器的最短距離和下一跳地址，此時稱該網絡收斂

距離向量算法：

1）對地址爲X的相鄰路由器發來的RIP報文，先修改此報文中的所有項目：把下一跳字段中的地址都改爲X，並把所有的距離字段的值加1，每一個項目都有三個關鍵數據：到目的網絡N，距離是d，下一跳路由器是X

2）對修改後的RIP報文中的每一個項目，進行以下步驟：

若原來的路由表中沒有目的網絡N，則把該項目添加到路由表中

否則若下一跳路由器地址是X，則把收到的項目替換原路由表中的項目（以最新的消息爲準）

否則若收到的項目中的距離d小於路由表中的距離，則進行更新

否則什麼也不做

3）若3分鐘還沒有收到相鄰路由器的更新路由表，則把相鄰路由器記爲不可達的路由器，即把距離置爲16

4）返回

已知路由器R6有下圖所示的路由表，現收到相鄰路由器R4發來的路由更新信息

先把R4發來的路由更新信息中的距離都加1，並把下一跳路由器都改爲R4

將修改後的表與路由表對比：

Net1：原路由表中沒有，故加入

Net2：原表中有，且下一跳相同，替換原有

Net3：原表中有，但下一跳不同，比較距離，選擇較小的

RIP協議的報文格式：

RIP協議的缺點：

RIP存在的一個問題是當網絡出現故障時，要經過比較長的時間才能將此信息傳送到所有的路由器

如上圖所示，設三個網絡通過兩個路由器互連起來，並且都已建立了各自的路由表。路由器R1中的1,1,直接表示到網1的距離是1，直接交付；路由器R2中的1,2,R1表示到網1的距離是2，下一跳經過R1

現在假定路由器R1到網1的鏈路出了故障，R1無法到達網1。於是路由器R1把到網1的距離改爲16（表示網1不可達），因而在R1的路由表中的相應項目變爲1,16,直接。但是，很可能要經過30秒鐘後R1才把更新信息發送給R2。然而R2可能已經先把自己的路由表發送給了R1，其中有1,2,R1這一項

R1收到R2的更新報文後，誤認爲可經過R2到達網1，於是把收到的路由信息1,2,R1修改爲1,3,R2，表明到網1的距離是3，下一跳經過R2，並把更新後的信息發送給R2

同理，R2接着又更新自己的路由表爲1,4,R1，這樣的更新一直繼續下去，直到R1和R2到網1的局地都增大到16時，R1和R2才知道原來網1是不可達的。RIP協議的這一特點叫做：好消息傳播得快，而壞消息傳播得慢

RIP協議最大的優點是實現簡單，開銷較小；缺點是限制了網絡的規模，出故障時傳播時間較長

2）、內部網關協議OSPF

OSPF使用分佈式的鏈路狀態協議，而不是像RIP那樣的距離向量協議

OSPF協議的特點：

1）向本自治系統中所有路由器發送消息。使用的是洪泛法，路由器通過所有輸出端口向所有相鄰的路由器發送消息，而每一個相鄰路由器又再將此消息發往其所有的相鄰路由器（但不再發送給剛剛發來消息的那個路由器）

2）發送信息就是與本路由器相鄰的所有路由器的鏈路狀態，說明與哪些路由相鄰，以及該鏈路的度量（費用、距離、時延、帶寬等）

3）只有當鏈路狀態發生變化時，才使用洪泛法發生信息

由於各路由器之間頻繁地交換鏈路狀態信息，因此所有的路由器最終都能建立一個鏈路狀態數據庫，這個數據庫實際上就是全網的拓撲結構圖。這個拓撲結構圖在全網範圍內是一致的（這稱爲鏈路狀態數據庫的同步）。因此，每一個路由器都知道全網共有多少個路由器，以及哪些路由器是相連的，其代價是多少等等。每一個路由器使用鏈路狀態數據庫中的數據構造出自己的路由表

爲使OSPF能夠用於規模很大的網絡，OSPF將一個自治系統再劃分爲若干各更小的範圍，叫做區域；必須要有一個主幹區域，其它區域一般都和主幹區域直接相連；每個區域都有一個32位的區域標識符；區域不能太大，一個區域路由器數量不超過200個

OSPF協議的報文格式：

3）、外部網關協議BGP

邊界網關協議BGP尋找一條能夠到達目的網絡且比較好的路由，不一定是最佳路由，採用路徑向量路由選擇協議

6、虛擬專用網VPN和網絡地址轉換NAT

1）、虛擬專用網VPN

專用地址只能用於一個機構的內部通信，而不能用於和互聯網上的主機通信。在互聯中的所有路由器，對目的地址是專用地址的數據報一律不進行轉發

專用地址塊：

10.0.0.0到10.255.255.255
172.16.0.0到172.31.255.255
192.168.0.0到192.168.255.255

所有通過互聯網傳送的數據都必須加密，要構建VPN必須爲它的每一個場所配置專門的硬件和軟件，使每一個場所的VPN系統都知道其他場所的地址

使用IP隧道技術實現虛擬專用網：

假定某個機構在兩個相隔較遠的場所建立了專用網A和B，其網絡地址分別爲專用地址10.1.0.0和10.2.0.0。現在這兩個場所需要通過公用的互聯網構成一個VPN。如上圖所示，路由器R1和R2在專用網內部網絡的接口是專用網的本地地址，和互聯網的接口地址必須是合法的全球IP地址

在每一個場所A或B內部的通信都不經過互聯網。但如果場所A的主機X要和另一個場所B的主機Y通信，那麼就必須經過路由器R1和R2。主機X向主機Y發送的IP數據報的源地址是10.1.0.1，而目的地址是10.2.0.3。這個數據報先作爲本機構的內部數據報爲X發送到與互聯網連接的路由器R1。路由器R1收到內部數據報後，發現其目的網絡必須通過互聯網才能到達，就把整個的內部數據報進行加密，然後重新加上數據報的首部，封裝成爲在互聯網上發送的外部數據報，其源地址是路由器R1的全球地址125.1.2.3，而目的地址是路由器R2的全球地址194.4.5.6。路由器R2收到數據報後將其數據部分去除進行解密，恢復出原來的內部數據報（目的地址是10.2.0.3），交付主機Y

2）、網絡地址轉換NAT

在專用網連接到互聯網的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球IP地址。這樣，所有使用本地地址的主機在和外界通信時，都要在NAT路由器上將其本地地址轉換成全球IP地址，才能和互聯網連接

NAT路由器收到從專用網內部的主機A發往互聯網上主機B的IP數據報：源IP地址是192.168.0.3，而目的IP地址是213.18.2.4。NAT路由器把IP數據報的源IP地址192.168.0.3，轉換爲新的源IP地址172.38.1.5，然後轉發出去。因此，主機B收到這個IP數據報時，以爲A的IP地址是172.38.1.5。當B給A發送應答時，IP數據報的目的IP地址是NAT路由器的IP地址172.38.1.5。B並不知道A的專用地址192.168.0.3，即使知道了也不能使用，因爲互聯網上的路由器都不轉發沒有地地址是專用網本地IP地址的IP數據報

當NAT收到互聯網上的主機B發來的IP數據報時，還要進行一次IP地址的轉換。通過NAT地址轉換表，就可把IP數據報上的舊的目的IP地址172.38.1.5，轉換爲新的目的IP地址192.168.0.3

使用端口號的NAT也叫做網絡地址與端口號轉換NAPT

NAPT把專用網內不同的源IP地址，都轉換爲同樣的全球IP地址，但對源主機所採用的TCP端口號，則轉換爲不同的新的端口號，因此，當NAPT路由器收到從互聯網發來的應答時，就可以從IP數據報的數據部分找出運輸層的端口號，然後根據不同的目的端口號，從NAPT轉換表中找到正確的目的主機

推薦學習資料：

韓老師講高校《計算機網絡原理》：https://www.bilibili.com/video/BV1Tb411x7CE?p=1