網(wǎng)絡(luò)二三層數(shù)據(jù)流分析.ppt

1、數(shù)據(jù)流分析,數(shù)據(jù)流分析 端口 二層以太網(wǎng) ARP 交換機(jī)工作原理 二層數(shù)據(jù)流分析 路由器工作原理 三層數(shù)據(jù)流分析,引言：數(shù)據(jù)的封裝與解封裝過程,2.1 端口,2.1.1 使用端口號(hào)來標(biāo)識(shí)正確的應(yīng)用程序,Hi，TCP的目的端口是1031，請(qǐng)把數(shù)據(jù)交給瀏覽器2,2.1.2 客戶端連接到WEB服務(wù)器的周知端口,新的瀏覽器（瀏覽器2）需要發(fā)送數(shù)據(jù)，端口1031還沒有用，我就用它吧；而且Web服務(wù)器總使用80端口，所以目的端口就是80！,我的Web服務(wù)器軟件已注冊(cè)使用Web的周知端口80，所有發(fā)給我的段的目的端口應(yīng)為80！,My Computer,Web server,2.2 二層以太網(wǎng)幀結(jié)構(gòu),前導(dǎo)碼：

2、包括同步碼（用來使局域網(wǎng)中的所有節(jié)點(diǎn)同步，7字節(jié)長）和偵標(biāo)志（幀的起始標(biāo)志7，1字節(jié)）兩部分； 目的地址：接收端的MAC地址，6字節(jié)長； 源地址：發(fā)送端的MAC地址，6字節(jié)長； 類型：數(shù)據(jù)包的類型（即上層協(xié)議的類型），2字節(jié)長； 數(shù)據(jù)：被封裝的數(shù)據(jù)包，461500字節(jié)長； 校驗(yàn)碼：錯(cuò)誤檢驗(yàn)，4字節(jié)長。 Ethernet_II的主要特點(diǎn)是通過類型域標(biāo)識(shí)了封裝在幀里的數(shù)據(jù)包所采用的協(xié)議，類型域是一個(gè)有效的指針，通過它，數(shù)據(jù)鏈路層就可以承載多個(gè)上層（網(wǎng)絡(luò)層）協(xié)議。但是，Ethernet_II的缺點(diǎn)是沒有標(biāo)識(shí)幀長度的字段。,2.3 ARP,當(dāng)主機(jī)被分配到IP地址后，它們就會(huì)希望開始向一些其他的主機(jī)發(fā)送

3、IP包。一臺(tái)IP主機(jī)要在一個(gè)局域網(wǎng)上發(fā)送IP包，發(fā)送主機(jī)必須要知道局域網(wǎng)上其它設(shè)備的以太網(wǎng)MAC地址，主機(jī)通常利用地址解析協(xié)議（ARP）來實(shí)現(xiàn)。,2.3.1 ARP工作過程,5、生成ARP應(yīng)答幀,6、更新ARP高速緩存,4、處理ARP請(qǐng)求幀,7、發(fā)送ARP應(yīng)答幀,9、更新ARP高速緩沖,8、處理ARP應(yīng)答幀,3、廣播ARP請(qǐng)求,2、生成ARP請(qǐng)求,1、在ARP高速緩存中檢測(cè)目標(biāo)設(shè)備的MAC地址,廣播,單播,源主機(jī),目的主機(jī),2.3.2 ARP報(bào)文格式,硬件類型：表示硬件地址的類型，為1時(shí)表示以太網(wǎng)。 協(xié)議類型：表示要映射的協(xié)議地址類型，為0 x0800表示IP地址。 硬件地址長度：對(duì)于ARP請(qǐng)

4、求或者應(yīng)答來說，為6字節(jié)。 協(xié)議地址長度：對(duì)于ARP請(qǐng)求或者應(yīng)答來說，為4字節(jié)。 操作類型（OP）：1表示ARP請(qǐng)求，2表示ARP應(yīng)答。 發(fā)送端MAC地址：發(fā)送方設(shè)備的硬件地址。 發(fā)送端IP地址：發(fā)送方設(shè)備的IP地址。 目標(biāo)MAC地址：接收方設(shè)備的硬件地址。 目標(biāo)IP地址：接收方設(shè)備的IP地址。,2.3.3 ARP抓包分析-請(qǐng)求包,2.3.4 ARP抓包分析-應(yīng)答包,2.4 主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包邏輯,當(dāng)主機(jī)要向同一網(wǎng)絡(luò)或者子網(wǎng)絡(luò)內(nèi)的其它主機(jī)發(fā)送數(shù)據(jù)包時(shí)，發(fā)送端主機(jī)直接將包發(fā)送給那臺(tái)主機(jī) 當(dāng)主機(jī)要向不同網(wǎng)絡(luò)或者子網(wǎng)內(nèi)的其它主機(jī)發(fā)送數(shù)據(jù)包時(shí)，發(fā)送端主機(jī)將包發(fā)送給它的默認(rèn)網(wǎng)關(guān) 不管主機(jī)使用上面兩步中MAC

5、地址的哪一步，發(fā)送端主機(jī)可以利用ARP來獲知正確的，并將它封裝在以太網(wǎng)幀里面,2.4.1 交換機(jī)的工作原理,交換機(jī)可以分割沖突域，提高傳輸效率 交換機(jī)的每個(gè)端口訪問另一個(gè)端口時(shí)，都有一條專有的線路，不會(huì)產(chǎn)生沖突。,2.4.2 交換機(jī)的學(xué)習(xí)功能,0200.1111.1111 Pc1,0200.3333.3333 Pc3,0200.2222.2222 Pc2,0200.4444.4444 Pc4,1,3,4,2,發(fā)送幀 源：0200.1111.1111 目的：0200.2222.2222,源MAC是：0200.1111.1111 從端口1 進(jìn)入，加入MAC表,2.4.3 交換機(jī)的轉(zhuǎn)發(fā)功能,發(fā)送幀，

6、目的為 0200.3333.3333,再生并重發(fā)！,此幀發(fā)送給其它站點(diǎn)忽略它！,0200.3333.3333是我 處理此幀！,0200.3333.3333通過 端口1可達(dá)，此幀從 端口0收到，轉(zhuǎn)發(fā)！,此幀發(fā)送給其它站點(diǎn)忽略它！,Pc2 0200.2222.2222,Pc1 0200.1111.1111,Pc3 0200.3333.3333,Pc4 0200.4444.4444,0,1,2.4.4 交換機(jī)的過濾功能,發(fā)送幀，目的為 0200.2222.2222,再生并重發(fā)！,此幀發(fā)送給我 -處理它！,0200.2222.2222通過 端口0可達(dá)，此幀從 端口0收到，過濾！,Pc2 0200.22

7、22.2222,Pc1 0200.1111.1111,Pc3 0200.3333.3333,Pc4 0200.4444.4444,0,1,2.4.5 泛洪未知單播幀,未知單播幀指幀中的目的MAC地址在MAC表中沒有，交換機(jī)會(huì)泛洪這樣的幀。 以太網(wǎng)中還用到另外兩種幀。 廣播幀幀中的目的MAC地址為 FFFF.FFFF.FFFF這樣的幀應(yīng)傳給LAN中的所有設(shè)備。 組播幀幀中的目的MAC地址為組播地址，通常用于IP組播的以太網(wǎng)的組播地址以0100.5E或0100.5F開頭，這些幀發(fā)送給LAN中的一組設(shè)備，而不是全部。,2.4.6 泛洪未知單播幀（續(xù)）,0200.1111.1111 Pc1,0200.

8、3333.3333 Pc3,0200.2222.2222 Pc2,0200.4444.4444 Pc4,1,3,4,2,發(fā)送幀 源：0200.1111.1111 目的：0200.5555.5555,源MAC是：0200.1111.1111 從端口1 進(jìn)入，加入MAC表,目的MAC是 0200.5555.5555 未知，洪泛！,2.4.7 交換機(jī)的學(xué)習(xí)功能,0200.1111.1111 Pc1,0200.3333.3333 Pc3,0200.2222.2222 Pc2,0200.4444.4444 Pc4,1,3,4,2,發(fā)送幀 目的：0100.5E12.3456,無論怎么樣我 泛洪所有組播幀,

9、不支持組播優(yōu)化功能交換機(jī)處理組播的方法,2.4.8 交換機(jī)的學(xué)習(xí)功能,0200.1111.1111 Pc1,0200.3333.3333 Pc3,0200.2222.2222 Pc2,0200.4444.4444 Pc4,1,3,4,2,發(fā)送幀 目的：0100.5E12.3456,端口2、3將把 此幀發(fā)送至 0100.5E12.3456,支持組播優(yōu)化功能交換機(jī)處理組播的方法,2.5 路由器的工作原理,FA0/0,FA0/1,172.16.1.251,172.16.2.251,PC1 172.16.1.1,PC11 172.16.1.11,PC2 172.16.2.2,PC22 172.16.2

10、.22,子網(wǎng)：172.16.1.0 子網(wǎng)掩碼：255.255.255.0,子網(wǎng)：172.16.2.0 子網(wǎng)掩碼：255.255.255.0,2.5.1 主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包邏輯,當(dāng)主機(jī)要向同一網(wǎng)絡(luò)或者子網(wǎng)絡(luò)內(nèi)的其它主機(jī)發(fā)送數(shù)據(jù)包時(shí)，發(fā)送端主機(jī)直接將包發(fā)送給那臺(tái)主機(jī) 當(dāng)主機(jī)要向不同網(wǎng)絡(luò)或者子網(wǎng)內(nèi)的其它主機(jī)發(fā)送數(shù)據(jù)包時(shí)，發(fā)送端主機(jī)將包發(fā)送給它的默認(rèn)網(wǎng)關(guān) 不管主機(jī)使用上面兩步中的哪一步，發(fā)送端主機(jī)可以利用ARP來獲知正確的MAC地址，并將它封裝在以太網(wǎng)幀里面,2.5.2 默認(rèn)網(wǎng)關(guān)/路由器,192.168.1.12,192.168.3.32,PC32,192.168.3.1,192.168.1.1,192.

11、168.1.13,PC12,PC11,192.168.2.1,192.168.2.21,192.168.2.22,子網(wǎng)：所有地址從192.168.1開始,PC21,192.168.3.31,PC31,PC22,子網(wǎng)：所有地址從192.168.2開始,子網(wǎng)：所有地址從192.168.3開始,Fa0/1,Fa0/0,Fa0/2,192.168.1.13和我不在同 一個(gè)子網(wǎng)中，因此將數(shù)據(jù)包發(fā) 給我的默認(rèn)網(wǎng)關(guān)192.168.3.1,192.168.2.21與我同在一個(gè)子網(wǎng)中，因此我直接通過LAN將數(shù)據(jù)包發(fā)送給那臺(tái)PC,2.5.3 從IP視角看IP路由邏輯,目地地址172.16.2.2和我路由表中的 1

12、72.16.2.0 255.255.255.0相匹配， 我將從我的FA0/1接口發(fā)送該數(shù)據(jù)包！,172.16.1.251,172.16.2.252,Fa0/0,Fa0/1,172.16.2.2 PC2,172.16.1.1 PC1,源 IP=172.16.1.1 目的IP=172.16.2.2,源 IP=172.16.1.1 目的IP=172.16.2.2,R1,2.5.4 從網(wǎng)絡(luò)接入層的視角看IP路由邏輯,丟棄接受到的數(shù)據(jù)鏈路的 幀頭恩好幀尾，然后從接口 向外轉(zhuǎn)發(fā)時(shí)再封裝一個(gè)新的！,172.16.1.251,172.16.2.252,Fa0/0,Fa0/1,172.16.2.2 PC2,17

13、2.16.1.1 PC1,源 IP=172.16.1.1 目的IP=172.16.2.2,源MAC=PC1的MAC 目的MAC=R1的Fa0/0的MAC,源 IP=172.16.1.1 目的IP=172.16.2.2,源MAC= R1的Fa0/1的MAC 目的MAC=PC2的MAC,R1,2.5.5 單一路由器進(jìn)行路由的詳細(xì)步驟,172.16.1.251,172.16.2.252,Fa0/0,Fa0/1,172.16.2.2 PC2,172.16.1.1 PC1,Passed FCS,解封裝 數(shù)據(jù)包,因?yàn)槟康腗AC 是R1的Fa0/0的 MAC，所以 需要處理它,更新TTL 并進(jìn)行頭校驗(yàn),比較路由表和數(shù)據(jù)包的目的地址,查找ARP表,封裝一個(gè)新的以太網(wǎng)幀,從外出接口 （Fa0/1）發(fā)送該幀,路由器從Fa0/0 接收到該幀,源MAC= R1的Fa0/1的MAC 目的MAC=PC2的MAC,2.5.6 廣域網(wǎng)路由,172.16.1.251,172.16.3.252,Fa0/0,Fa0/1,172.16.3.3 PC2,172.16.1.1 PC1,S0/0 172.16.4.251,172.16.4.252