1、4、 熟悉数据报文结构以太网报头、IP、TCP、UDP,能理解二、三、四层数据分析、数据封装拆装过程、上下层相关协议的联系。以太网报头:目标地址源地址类型数据 Ethernet 帧头目标地址:目的MAC,6字节。源地址:源MAC,6字节。类型:标识上层协议类型,2字节:IP:0x0800;ARP:0x0806TCP报文头源端口目标端口序号确认号报文长度预留编码位窗口校验和紧急选项长度 数据 UDP报文头 版本(4)报头长度(6)优先级及服务类型(8)总长(16)标识(16)标志(3)分段偏移量(13)存活时间(8)协议(8)报头校验和(16)源IP地址(32)目标IP地址(32)选项(0或32
2、)数据(不固定的) IP头部5、 TCP报文头部、UDP报文头部的相同点与不同点,总结应用层协议哪些是基于TCP封装、端口号多少;哪些是基于UDP封装的,端口号多少;并通过抓包分析TCP的三次握手、四次断开连接,将过程用自己的语言描述;查看TCP报文的标志位字段的置位的作用。答: TCP报文头相同点:都具有源,目端口,长度与校验和,都工作在传输层。不同点:TCP有序号,确定了发送方发送数据流中的数据所在位置,还有编码位,是TCP的控制功能,具体的后面讨论;TCP是提供可靠连接,面向连接的,而UDP是无连接的,只提供数据包服务,最大交付。基于TCP应用TCP端口号FTP-Data20BGP179
3、FTP21HTTPS443SSH22RTSP554Telnet23SQL1433SMTP25Oracle1521Tacacs+49H3231720HTTP80PPTP1723POP3110MMS1755文件共享139、445远程桌面3389基于UDPUDP端口号WINS42NetBIOS137、138、139DNS53IPSEC 500、4500DHCP(S)67SYSLOG514DHCP(C)68RIP520TFTP69L2TP1701NTP123radius1812、1813SNMP161、162Radius cisco1645、1646TCP三次握手机制第一次握手,(如图1所示)客户端向
4、服务器端提出连接请求, SYN标志置位。(图1)第二次握手,(如图2所示)服务端收到TCP分段,同时确认收到客户端的第一个TCP分段,发送回应包(ACK标志置位)(图2)第三次握手(如图3所示),客户端确认收到服务器端的(ACK)置位报文,最后回应确认报文,到此为止建立完整的TCP连接。(图3)TCP四次断开连接第一次(如图4所示),有服务端发起,FIN、PSH、ACK置位,表示服务器端要中止此次的连接。(图4)第二次(如图5所示),客户端收到后,发送确认包,ACK置位。(图5)第三次(如图6所示),因为通信是双向的,客户端也发起结束此次连接的请求,FIN、PSH、ACK置位。(图6)第四次(
5、如图7所示),服务器端收到请求后,回应,ACK置位,这就代表此次TCP连接到次为止。(图7)标志位的置位作用SYN:(同步序列编号),该标志仅在三次握手建立TCP连接时有效。ACK:(确认标志),提示远端系统已经成功接受所有数据。RST:(复位标志),用于复位相应的TCP连接。URG:(紧急标志),紧急标志有效,紧急标志置位。PSH:(推标志),该标志置位时,接受端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。FIN:(结束标志),带有该置位的数据包用来结束一个TCP的会话,但对应端口仍处于开发状态,准备接受后续数据。6、 ARP的工作原理、PING的工作原理、tractroute的
6、工作原理;并请抓包分析原理,以截图的形式加以说明。ARP的工作原理 以主机A(192.168.10.3)向主机B(192.168.10.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到目标IP地址,主机A就会在网络上发送一个广播,(如图8所示),(图8)A主机MAC地址是“主机A的MAC地址”,这表示向同一网段内的所有主机发出这样的询问:“我是192.168.10.3,我的硬件地址是主机A的MAC地址.请问IP地址为192.168.10.1的MAC
7、地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应(如图9所示)(图9):“192.168.10.1的MAC地址是00-50-79-66-68-02”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。PING 的工作原理 ping命令主要是用来测试网络的连通性,协议是ICMPICMP的报文种类有两种,差错报告报文和查询报文;而差错报告报文常见的类型有两种类型3和类型11,类型3是终点不可达,类型11是超时;查询报文常见的也有两种类型8或0,8表示发送请求(如图12所示),(图12)0表示回应请求,(图13)Tractroute
8、的工作原理 Tractroute 的主要工作是跟踪一个分组从源点到终点的路径;它很巧妙地使用两个ICMP报文(超时报文和终点不可达报文);来找出一个分组的路由,它使用UDP服务,工作过程,如:跟踪主机A到B的路径: 1.主机A的程序Tractroute使用UDP向终点B发送一个分组,被封装在IP报文中,其TTL为1。 2.下一跳路由器R1收到这个分组,把TTL值减到0,就丢弃该分组并回送一个ICMP报文(类型11代码0) 3.主机A收到这个ICMP报文,利用这个ICMP报文的IP头部的源地址找到下一跳R1的地址;并记下到达的时间。 4.程序Tractroute重复步骤1-3几次,不过UDP包的
9、IP报文TTL=2;获得第二跳地址和平均往返时间,;每次TTL+1直到相应或到达最大TTL值。7、 理解IP报文结构中的字段的作用:如TTL、协议号、TOS、分片等。版本4报头长度6优先级及服务类型8总长16标识6标记3分段偏移13TTL8协议8校验和16源IP地址32目标IP地址32选项0或32 IP报头(1)版本:定义IP协议的版本,目前使用的是4,字段的值通常为0100(2)报头长度:定义整个数据报的总长度,以4字节为一个计量单位;当没有选项时,首部为20字节。(3)服务类型:前3位叫做优先位,后4位叫做TOS位,最后一位没有使用;优先是一个3bit字段;它的值从000到111,当路由器
10、出现拥塞而必须丢弃一些数据报时,具有最低优先的数据报将首先被丢弃;TOS为是4位字段;只能有一位的值为1;所有共有5种不同的服务类型;000、0001、0010、0100、1000;应用程序可以请求一种特定的服务类型;如:ICMP为000;(4)总长度:这个16位字段定义一个数据报以字节计算的总长度。(5)标识:标识一个从源主机发出是数据报,这个标识在目的站重装数据报时很有用,目的站就是知道所有具有相同标识值得分片必须组装成一个数据报。(6)标志:这是3个比特的字段。第一个比特保留后用,第二个比特是不分片比特,若此值为1,则说明机器不能讲该数据报进行分片;若为0,则该数据报需要分片;第三个比特
11、是还有分片比特,若为1,表示此数据报不是最后的分片,若为0,表示这已是最后或唯一的分片。(7)片偏移:表示这个分片在整个数据报中的相对位置。(8)存活时间(TTL):表示数据包在它通过互联网是必须具有受限的寿命。转发一次,TTL值捡1,为0时则丢弃。(9)协议:定义上层使用的是什么协议如:TCP的值为6 ,UDP的值为17等。(10)校验和:主要是用来保证数据的完整性。8、 路由器、交换机、防火墙的启动过程、IOS升级、密码恢复。 路由器、交换机、防火墙虽然工作在不同的层次,所执行的工作内容也不相同,但它们启动步骤大致分4步(1) 路由器执行加电自检的操作,以检查硬件工作是否正常。(2) 路由
12、器加载bootstrap程序,以使CPU运行一些软件。(3) 路由器利用boosstrap程序将IOS加载到内存中,然后运行IOS软件来替换bootstrap软件。(4) 路由器将初始化配置文件读入内存,告诉路由器它的运行参数。路由器IOS升级首先ftp、rcp、tftp三种协议均需要一台network server,在路由器上配置接口ip地址,并在特权模式下使用命令: copy ftp: | rcp: | tftp: flash ,随后按照提示顺序依次输入服务器的ip地址、源文件名、目的文件名之后确认就可以进行软件拷贝router(boot)en进入特权模式router (boot)#con
13、ft进入配置模式router(boot)(config)#int e0进入接口router(boot)(config-if)#ip add 10.1.1.1 255.255.255.0配置ip地址及掩码router(boot)(config-if)#end回到特权模式router (boot)# copy ftp: flash执行拷贝至本地随后按照提示顺序依次输入服务器的ip地址、源文件名、目的文件名即可进行拷贝,完成后router(boot)(config)#下输入config-register 0x2102,将寄存器值还原并重新启动路由器即完成软件升级。9、 单臂路由的数据转发分析(通过做
14、实验,将数据流的二层转发,三层转发进行详细的分析,交换机查表、路由器查表。)以下图为例。二层转发PC1去访问PC3,拿PC3的IP地址与自己的网关相与,发现是在同一网段内,直接发送数据包;数据包进入交换机SW3,查看MAC,不是给自己的虚接口,在根据目标MAC去查对应的MAC表,(如图所示)查到相对应的接口,打上vlan tag 的标记,发送出去;数据传到交换机SW4,SW4收到一个数据包,也是先查看2层地址,根据2层地址去MAC表里面去查找,(如图所示)在转发到能承载该vlan tag 的出接口,传到fa0/10,因为该接口是access口,数据出去前要去掉vlan tag,然后转发出去。反
15、之已然。三层转发PC1去访问PC4,PC1首选拿自己的网关与PC4的IP地址相与,发现不在同一网段,交给网关处理。封装源MAC :网关的MAC,目标MAC:PC4的MAC地址,目标IP:192.168.11.20 源IP:192.168.10.10;数据到达交换机SW3,SW3查看2层地址,(如图所示)向能承载该vlan tag 标记的端口转发该数据包;数据包通过TRUNK口fa0/1发送到路由器RT5,路由器收到该数据包后,首先查看数据包的2层MAC是不是自己的接口MAC,查看后发现是eth0/0.10 子接口的MAC,拆封根据目标IP去查找全局路由表,(如图所示)发现目标地址路由是自己的直
16、连接口,将数据包转发至e0/0.11,TTL减1,打上vlan 11 的tag,封上2层,发送出去;数据到达交换机SW4时,SW4查看MAC表项,(如图所示)向能承载该vlan tag的端口发送该数据包,(不向f0/3发送,因为数据时从f0/3发送过来的。)因此,PC4就收到了数据包。10、 三层交换机的数据转发原理(同一VLAN内PC的数据转发、不同vlan的数据转发)请通过交换机的实验证明。相同vlan首先,交换机要对收到的包进行处理,看是要二层转发,还是三层路由转发。当交换机收到一个包,查看MAC地址,如果是交换机虚接口的MAC,直接拆封二层,查看三层地址,根据不同vlan如果不是自己的
17、接口地址,那么根据目标MAC去查找MAC表项,打上对应的vlan tag标记,向能承载该vlan tag 的接口以及Trunk口发送该包11、 交换机的access接口与trunk接口的区别,Native vlan经过Trunk的时候是否打标记,请实验证明,在trunk链路上不允许vlan20200通过,如何实现。在SW3的FA0/10抓保,和SW1的FA0/2抓保Access端口:只允许相应特定vlan的数据通过,只能承载一个vlan的信息。Trunk端口:允许所有vlan的数据通过,承载多个vlan信息,在数据帧中插入4字节的tag标记,以区分不同的vlan信息,但是处理Native vl
18、an时,是不打标记的,实现了数据的跨交换机的通信。在接口模式下:switch trunk all vlan except 20-20012、 STP的作用、选举过程、如何操作根网桥、根端口、指定端口(通过实验来证明,并将结果显示出来,或用自己的语言做说明)。STP(生成树协议),主要作用是用来防止二层产生的环路与解决广播风暴,当交换机发现拓扑中有环路时,就会逻辑的阻塞一个或多个冗余端口,来实现无环拓扑。选举过程首先是各交换机之间以自己为工网桥互发BPDU,比较自己与其它发来的BPDU,通过BPDU报文中的网桥优先级,谁优先的话,谁为根网桥,然后选出根端口和指定端口。根网桥的选举:首先指明网桥优
19、先级默认都是32768,取4096的倍数。它在网桥ID中占用2字节,取值范围065535。网桥ID是由2字节的优先级和6字节(总共8字节)的MAC组成。网桥ID越小越优先,可以手动的修改优先级。根端口的选举:根端口是指非根网桥到根网桥开销最小的端口,选举根端口有三个参数,1端口到根网桥路径开销最小的为根端口2.发送方网桥ID最小的为根端口3、发送方端口ID最小的为根端口SW3的fa0/1 优先级是128.2SW3的fa0/2 优先级是128.3根端口是fa0/1指定端口的选举:指定端口是指每两个直连端口中具有最优的BPDU的端口为指定端口,根网桥的端口都是指定端口。SW2的fa0/3端口 vl
20、an11 SW3的 fa0/2 端口 SW3的端口优先级大于SW2 128.3小于128.4 所以指定端口是SW3的fa0/213、 请在windows上安装DHCP服务器、通过PC抓包将及过程进行分析。14、 请在路由器上做DHCP服务器,在三层交换机上做DHCP中继,使局域网内PC能跨广播获取IP地址。并将其过程以抓包的形式分析出来,包括(端口号、IP地址)。1首先是客户向服务器请求,以广播的形式向服务器端发送请求,源端口为68,目标端口为67。经过DHCP中继的处理,把广播报文,以单播的形式向DHCP服务器发送,源,目的端口号都为67。2 DHCP报文的分析第一个包是由客户端发起的,DH
21、CP DISCOVER 因为一个包是发现报文,所以client ip address 为0.0.0.0Your (client) ip address 也为0.0.0.0DHCP message type = DHCP discover /报文类型为DHCP discover第二个包为提供报文,由服务器端发起,当服务器收到由客户端发来的请求后,以单播的形式发送DHCP OFFER,(如图所示)报文里面包含给客户端下发的IP地址,Your (client) ip address :192.168.10.2子网掩码为 255.255.255.0该地址的有效时间 1天更新时间 12小时 中继地址 192.168.12.200以及DNS的地址 202.103.96.112第三个包由客户端发起,以广播的形式向服务器端发送DHCP REQUEST报文,以广播发送有两个原因,一,是告知服务器端,你的IP地址我用了,二,是告知其他的DHCP服务器端(如果有)我以及有可以用的IP地址了。(如图所示)报文里面包含自己的IP地址 192.168.10.2网关地址 192.168.10.1DHCP报文类型为DHCP Request第四个包是由服务器端发起,以单播的形式回应客户端,DHCP ACK报文,表明以收到你的报文,你可以使用我发给你的IP地址。
