一、TCP/IP架构

1.OSI层模型

OS七层模型中，对等层数据统一的名字为：协议数据单元（PDU，Protocol Data Unit）。应用层数据称为应用层协议数据单元（APDU，Application Protocol Data Unit）;表示层数据称为表示层协议数据单元（PPDU，Presentation Protocol Data Unit）;会话层数据称为会话层协议数据单元（SPDU，Session Protocol Data Unit）。

传输层数据称为段（Segment），网络层数据称为数据包（Packet），数据链路层称（Frame），物理层数据称为比特流（Bit）。

2.TCP/IP协议各层作用

应用层

口HTTP（超文本传输协议）：用来访问在wwWW服务器上的各种页面。

口FTP（文件传输协议）：为文件传输提供了途径，它允许数据从一台主机传送到另一台主机上。

口DNS（域名服务系统）：用于实现从主机域名到IP地址之间的转换。

传输层

口TCP（传输控制协议）：为应用程序提供可靠的面向连接的通信服务，适用于要求得到响应的应用程序。目前，许多流行的应用程序都使用TCP。

口UDP（用户数据报协议）：提供了无连接通信，且不对传送数据包进行可靠的保证。适合于一次传输小量数据，可靠性则由应用层来负责。

网络层

口IP（互联网协议）：IP协议和路由协议协同工作，寻找能够将数据包传送到目的端的最优路径。IP协议不关心数据报文的内容，提供无连接的、不可靠的服务。

口ARP（地址解析协议）：把已知的IP地址解析为MAC地址。

数据链路层

口数据链路层分为两个子层：逻辑链路控制子层（LC，Logic Link Control Sublayer），介质访问控制子层（MAC，Media Access Control Sublayer）。

3.TCP/IP协议栈封装过程

第一步：发送方将用户数据提交给应用程序把数据送达目的地，整个数据封装流程如下

口用户数据首先传送至应用层，添加应用层信息；

口完成应用层处理后，数据将往下层传输层继续传送，添加传输层信息（如TCP或UDP，应用层协议已规定是TCP还是UDP）；

口完成传输层处理后，数据将往下层网络层继续传送，添加网络层信息（如IP）。

第二步：完成网络层处理后，数据将往下层数据链接层继续传送，添加数据链层信息（如Ethernet、802.3、PPP、HDLC等），而后以比特流方式传输至对端（中间根据不同类型设备处理方式不同，交换机一般只进行数据链路层信息处理，而路由器进行更高层网络层处理，只有到达最终目的地才能恢复原用户数据）；

第三步：用户数据到达目的地后，将完成解封装流程

口数据包先传送至数据链路层，经过解析后数据链路层信息被剥离，并根据解析信息知道网络层信息，比如为IP；

口网络层接收数据包后，经过解析后网络层信息被剥离，并根据解析信息知道上层处理协议，比如TCP；口传输层（TCP）接收数据包后，经过解析后传输层信息被剥离，并根据解析信息知道上层处理协议，比如HTTP；

口应用层接收到数据包后，经过解析后应用层信息被剥离，最终展示的用户数据与发送方主机发送的数据完全相同。

口应用层和传输层提供端到端服务，网络层和数据链路层提供段到段服务。

4.五元组

二、常见的网络层协议

ARP：用于报文转发到同一网段的主机或网关时，已知目的地址，获取目的地址对应的MAC地址，同一网段内使用MAC地址进行通信。

ICMP:ICMP一般用于测试网络的连通性，典型应用为Ping和Tracert。

路由协议：用于网络中不同网段之间用户相互通信。

SNMP：是一种网络设备管理协议。

NetStream：是一种信息采样统计协议，通常与其他设备进行联动使用，如Anti-DDoS。

1.ARP协议

通过ARP协议，网络设备可以建立目标IP地址和MAC地址之间的映射。网络设备通过网络层获取到目的IP地址之后，还要判断目的MAC地址是否已知。

a:ARP请求

主机A的ARP缓存表中不存在主机C的MAC地址，所以主机A会发送ARP Request来获取目的MAC地址。ARPRequest报文封装在以太帧里。帧头中的源MAC地址为发送端主机A的MAC地址。此时，由于主机A不知道主机C的MAC地址，所以目的MAC地址为广播地址FF-FF-FF-FF-FF-FF。ARP Request报文中包含源lP地址、目的IP地址、源MAC地址、目的MAC地址，其中目的MAC地址的值为0。ARP Request报文会在整个网络上传播，该网络中所有主机包括网关都会接收到此ARP Request报文。网关将会阻止该报文发送到其他网络上。

b:ARP响应1

所有的主机接收到该ARP Request报文后，都会检查它的目的协议地址字段与自身的IP地址是否匹配。如果不匹配，则该主机将不会响应该ARPRequest报文。如果匹配，则该主机会将ARP报文中的源MAC地址和源IP地址信息记录到自己的ARP缓存表中，然后通过ARPReply报文进行响应。

c:ARP响应2

主机C会向主机A回应ARP Reply报文。ARPReply报文中的源协议地址是主机C自己的IP地址，目标协议地址是主机A的IP地址，目的MAC地址是主机A的MAC地址，源MAC地址是自己的MAC地址，同时Operation Code被设置为Reply。ARP Reply报文通过单播传送。由于ARP协议不存在安全保护措施，不能验证对方身份，恶意用户有可能利用这一特性对用户发起MAC欺骗等攻击

d:免费ARP：用于探测ip地址是否冲突

主机被分配了IP地址或者IP地址发生变更后，必须立刻检测其所分配的IP地址在网络上是否是唯一的，以避免地址冲突。主机通过发送ARP Request报文来进行地址冲突检测。

主机A将ARP Request广播报文中的目的IP地址字段设置为自己的IP地址，且该网络中所有主机包括网关都会接收到此报文。当目的IP地址已经被某一个主机或网关使用时，该主机或网关就会回应ARP Reply报文。通过这种方式，主机A就能探测到IP地址冲突了。

2.ICMP协议：传递差错、控制、查询等信息

ICMP是TCPIP协议簇的核心协议之一，它用于在IP网络设备之间发送控制报文，传递差错、控制、查询等信息。

a:ping应用

ICMP的一个典型应用是Ping。Ping是检测网络连通性的常用工具，同时也能够收集其他相关信息。用户可以在Ping命令中指定不同参数，如ICMP报文长度、发送的ICMP报文个数、等待回复响应的超时时间等，设备根据配置的参数来构造并发送ICMP报文，进行

b:Tracert应用：可显示数据包在网络传输中断所经过的每一跳

ICMP的另一个典型应用是Tracert。Tracet基于报文头中的TTL值来逐跳跟踪报文的转发路径。为了跟踪到达某特定目的地址的路径，源端首先将报文的TTL值设置为1。该报文到达第一个节点后，TTL超时，于是该节点向源端发送TTL超时消息，消息中携带时间戳。然后源端将报文的TTL值设置为2，报文到达第二个节点后超时，该节点同样返回TTL超时消息，以此类推，直到报文到达目的地。这样，源端根据返回的报文中的信息可以跟踪到报文经过的每一个节点，并根据时间戳信息计算往返时间。Tracert是检测网络丢包及时延的有效手段，同时可以帮助管理员发现网络中的路由环路。

3.OSPF协议

4.SNMP协议