完整word版网络协议报文格式大集合.docx

1、完整word版网络协议报文格式大集合1 序、1.1 协议的概念协议由语法、语义和时序三部分组成：语法：规定传输数据的格式；语义：规定所要完成的功能；时序：规定执行各种操作的条件、顺序关系；1.2 TCP/IP体系结构TCP/IP协议分为四层结构，每一层完成特定的功能，包括多个协议。本课程实验中相关协议的层次分布如附图3-1所示。TCP/IP协议层次这些协议之间的PDU封装并不是严格按照低层PDU封装高层PDU的方式进行的，附图3-2显示了Ethernet帧、ARP分组、IP分组、ICMP报文、TCP报文段、UDP数据报、RIP报文、OSPF报文和FTP报文之间的封装关系。图1-1 各协议PDU

2、间的封装关系2 链路层协议报文格式2.1 Ethernet报文格式最新的IEEE 802.3标准（2002年）中定义Ethernet帧格式如下：图2-1 以太网报文格式 其中，类型/长度值小于1536（0x0600）时表示数据字段的长度，大于等于1536（0x0600）时表示数据字段的协议类型。类型/长度值0x0800表示帧中封装的数据为IP分组，类型值0x0806表示帧中封装的数据为ARP分组。 Ethernet II类型以太网帧的最小长度为64字节（662464）最大长度为1518字节（66215004）。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址

3、。（注：ISL封装后可达1548字节，802.1Q封装后可达1522字节） 接下来的2个字节标识出以太网帧所携带的上层数据类型，如下：IPv4: 0x0800ARP:0x0806PPPoE:0x8864802.1Q tag: 0x8100 IPV6: 0x86DDMPLS Label:0x8847 在不定长的数据字段后是4个字节的帧校验序列（Frame. Check Sequence，FCS）2.2 802.1q VLAN数据帧(4字节）VLAN数据帧结构 Type：长度为2字节，取值为0x8100，表示此帧的类型为802.1Q Tag帧。 PRI：长度为3比特，可取07之间的值，表示帧的优先

4、级，值越大优先级越高。该优先级主要为QoS差分服务提供参考依据（COS）。 CFI 字段标识MAC 地址在不同的传输介质中是否以标准格式进行封装，长度为1bit，取值为0 表示MAC 地址以标准格式进行封装，为1 表示以非标准格式封装，缺省取值为0 VLAN Identifier (VID) : 长度12bits，可配置的VLAN ID取值范围为14094。通常vlan 0和vlan 4095预留，vlan1为缺省vlan，一般用于网管。2.3 QinQ帧格式 QinQ帧结构2.4 PPP帧格式PPP帧格式PPP报文的内容是指Address、Control、Protocol和Informati

5、on四个域的内容。各字段的含义如下。 Flag域Flag域标识了一个物理帧的起始和结束，该字节为0x7E。 Address域PPP协议是被运用在点对点的链路上，它可以唯一标识对方。因此使用PPP协议互连的两个通信设备无须知道对方的数据链路层地址。所以该字节已无任何意义，按照协议的规定将该字节填充为全1的广播地址。 Control域同Address域一样，PPP数据帧的Control域也没有实际意义，按照协议的规定通信双方将该字节的内容填充为0x03。Address和Control域一起表示了此报文为PPP报文，即PPP报文头为FF03。 Protocol域协议域可用来区分PPP数据帧中信息域所

6、承载的数据报文的内容。Protocol协议域 Information域信息域最大长度是1500字节，其中包括填充域的内容。信息域的最大长度等于PPP协议中MRU（Maximum Receive Unit）的缺省值。2.5 STP协议格式2.5.1 语法STP报文格式以太网报文头： 目的mac地址 目的地址是一个固定的桥的组播地址（0x0180c2000000） 源MAC地址 即发送该配置消息的桥MAC地址 长度/类型 这里表示帧长 LLC Header 固定的链路头-0x424203 Payload BPDU数据BPDU数据： Protocol ID 恒为0。 Version 恒为0。 Typ

7、e 决定该帧中所包含的两种 BPDU 格式类型（配置 BPDU 或 TCN BPDU）。 Flags 标志活动拓朴中的变化，包含在拓朴变化通知（Topology Change Notifications）的下一部分中。如下图：STP只使用了第0和第7比特位。STP报文的flags字段 Root BID 包括有根网桥的网桥 ID。会聚后的网桥网络中，所有配置 BPDU 中的该字段都应该具有相同值（单个 VLAN）。NetXRay 可以细分为两个 BID 子字段：网桥优先级和网桥 MAC 地址。 Root Path Cost 通向有根网桥（Root Bridge）的所有链路的积累资本。 Sende

8、r BID 创建当前 BPDU 的网桥 BID。对于单交换机（单个 VLAN）发送的所有 BPDU 而言，该字段值都相同，而对于交换机与交换机之间发送的 BPDU 而言，该字段值不同） Port ID 每个端口值都是唯一的。端口1/1值为08001，而端口1/2 值为08002。 Message Age 记录 Root Bridge 生成当前 BPDU 起源信息的所消耗时间。 Max Age 保存 BPDU 的最长时间，也反映了拓朴变化通知（Topology Change Notification）过程中的网桥表生存时间情况。 Hello Time 指周期性配置 BPDU 间的时间。 Forw

9、ard Delay 用于在 Listening 和 Learning 状态的时间，也反映了拓朴变化通知（Topology Change Notification）过程中的时间情况。2.5.2 语义常用概念： 根桥(Root Bridge)：桥ID最小的网桥。其中桥ID是由网桥的优先级和网桥的MAC组成 根端口(Root Port)：这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径。全网中只有根桥是没有根端口的 指定端口(Designated Port)：每一个网段选择到根桥最近的网桥作为指定网桥，该网桥到这一网段的端口为指定端口 可选端口(Alternate Port)：既不是指定端口

10、，也不是根端口的端口Stp做了些什么： STP在二层交换网络中选择一个根桥作为全部二层交换网络的逻辑中心（Root Bridge） STP为全网中每一个参与STP运算的交换机计算到达根桥的最短距离（Path Cost) 检测二层交换网络中存在的冗余链路，并把他们置于阻断/备份状态 检测拓扑结构的变化并根据情况计算新的生成树如何确定跟桥： 根桥BID（网桥ID）最小的网桥定为根桥 BID网桥的优先级+网桥MAC 网桥的优先级为可配置，缺省值为32768 在缺省情况下，根桥将由MAC地址最小的网桥担任如何确认到根桥的PATH COST： 到根桥的PATH COST = 收到最优配置消息中的ROOT

11、 PATH COST + 收到配置消息的该接口的开销 Path Cost的两种定义标准SpeedLink type802.1D cost802.1t cost10MbpsHalf Duplex1002,000,000Full Duplex951,999,999Aggregated link901,000,000100MbpsHalf Duplex19200,000Full Duplex18199,999Aggregated Link15100,0001000MbpsFull Duplex420,000Aggregated Link310,000如何决定BPDU配置消息的优劣： 比较RID(Ro

12、ot Bridge ID)，确定网络同步 RID相同，比较Path Cost（到根桥距离），越小越优 RID/Path Cost相同，比较指定桥的BID (Designated Bridge ID)，越小越优 RID/Path Cost/DBID相同，比较指定端口的ID (Designated Port ID)，越小越优确定网桥端口角色： BPDU报文中总是携带网桥到根桥的最优值 通过BPDU配置消息来决定端口的角色 根端口：网桥各个端口中到根桥最近的端口 指定端口：网桥的端口发送的BPDU配置消息较接收的BPDU配置消息更优，则端口为指定端口 可选端口：网桥的端口发送的BPDU配置消息较接收

13、的BPDU配置消息更差，则端口为可选端口STP端口状态: disabled：不收发任何报文 Blocking: 不接收或转发数据,接收但不发送BPDU，不进行地址学习 Listening：不接收或转发数据,接收并发送BPDU，不进行地址学习 Learning：不接收或转发数据,接收并发送BPDU，开始地址学习 Forwarding：接收并转发数据,接收并发送BPDU，进行地址学习拓扑改变: 拓扑结构改变会使站点在生成树中的相对位置发生移动，那么网桥原来学习到的MAC地址信息就可能变得不正确，所以学习的MAC地址信息也要有生存期，如果该时间内没有证明地址的正确，则抛弃这条地址信息 MAC地址在S

14、TP中有两个生存期： 拓扑稳定的时候用较长的生存期 拓扑改变的时候用较短的生存期 网络拓扑发生改变的时候，并不是所有的网桥都能够发现这一变化，所以需要把拓扑改变的信息通知到整个网络拓扑改变消息的传播: 拓扑改变的触发条件有两个： 当Forwarding端口转变为其他状态时 某端口变为Forwarding状态，且交换机具备DP（交换机为非独立交换机） 检测到拓扑变化的交换机以HelloTime为周期持续在根端口上向外发送TCN报文，到接收到TCA为止 收到TCN后，Root Bridge 发送的BPDU报文中的TC位将被置位，维持时间为ForwardDelay+MaxAge2.5.3 时序BPD

15、U的结构： STP通过BPDU(Bridge Protocol Data Unit)报文来学习网络拓扑结构； BPDU报文的目标MAC地址为：01-80-C2-00-00-00； BPDU报文在直连的两个网桥或多个网桥内交换，不能被转发。没有运行STP协议的网桥将把BPDU报文当作普通业务报文转发；STP定时器： Hello Timer: 根桥生成BPDU配置消息的周期，缺省时间为2秒钟 Forward Delay: 配置消息传播到全网的最大时延。缺省为15秒钟 Message Age:从根桥生成BPDU配置消息开始，到当前时间为止配置消息的存活时间 Max Message Age:BPDU配

16、置消息存活的最大时间STP端口状态迁移：STP端口迁移状态机STP抓包截图：STP报文抓包2.6 RSTP消息格式2.6.1 语法RSTP报文结构以太网报文头： 目的mac地址 目的地址是一个固定的桥的组播地址（0x0180c2000000） 源MAC地址 即发送该配置消息的桥MAC地址 长度/类型 这里表示帧长 LLC Header 固定的链路头-0x424203 Payload BPDU数据BPDU数据： Protocol ID 恒为0。 Version 恒为2。 Type 决定该帧中所包含的两种 BPDU 格式类型（配置 BPDU 或 TCN BPDU）。 Flags 标志活动拓朴中的变

17、化，包含在拓朴变化通知（Topology Change Notifications）的下一部分中。 Root BID 包括有根网桥的网桥 ID。会聚后的网桥网络中，所有配置 BPDU 中的该字段都应该具有相同值（单个 VLAN）。NetXRay 可以细分为两个 BID 子字段：网桥优先级和网桥 MAC 地址。 Root Path Cost 通向有根网桥（Root Bridge）的所有链路的积累资本。 Sender BID 创建当前 BPDU 的网桥 BID。对于单交换机（单个 VLAN）发送的所有 BPDU 而言，该字段值都相同，而对于交换机与交换机之间发送的 BPDU 而言，该字段值不同）

18、Port ID 每个端口值都是唯一的。端口1/1值为08001，而端口1/2 值为08002。 Message Age 记录 Root Bridge 生成当前 BPDU 起源信息的所消耗时间。 Max Age 保存 BPDU 的最长时间，也反映了拓朴变化通知（Topology Change Notification）过程中的网桥表生存时间情况。 Hello Time 指周期性配置 BPDU 间的时间。 Forward Delay 用于在 Listening 和 Learning 状态的时间，也反映了拓朴变化通知（Topology Change Notification）过程中的时间情况。2.6

19、.2 语义RSTP和STP的实现方式几乎相同，有个别地方做了改进，下面分别介绍RSTP的改进点RSTP的端口状态：STP端口状态RSTP端口角色： Root Port根端口 Designated Port指定端口 Alternate Port可选端口 Backup Port备份端口 相比STP的改进： 如果旧的根端口已经进入阻塞状态，而且新根端口连接的对端交换机的指定端口处于Forwarding状态，在新拓扑结构中的根端口可以立刻进入转发状态。 网络边缘的端口，即直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。 增加了网桥之间的协商机制Proposal/Agre

20、ement。指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。其中Proposal报文为正常的BPDU报文，且Proposal Bit位置位。Agreement报文为Proposal报文的拷贝，且以Agreement Bit代替Proposal Bit位置位。 协商必须在点对点链路上进行。（全双工链路） 两种端口状态不受协商机制影响：可选端口（Alternated Port). 1、 边缘端口（Edge Port).RSTP端口的快速切换RSTP的改进效果: 第一种改进的效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。 第二种改进的效果：边缘端口的状态变化不影响

21、网络连通性，也不会造成回路，所以进入转发状态无需延时。 第三种改进的效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为7的时候，要经过6次握手。RSTP拓扑改变消息的传播: 回顾STP的TC： 利用TCN BPDU将拓扑变化上报到根桥 根桥通过将FLAG中的TC比特置位（持续时间Forward Delay+Max Age)，通知所有其它交换机STP的TC传播 RSTP的TC报文： 拓扑改变检测：只有非边缘端口转变为Forwarding状态时，产生拓扑改变 检测到拓扑改变后的动作：

22、在两倍Hello时间内向所有其它指定端口和根端口发送TC置位BPDU报文; 清除除接收到TC报文的端口之外的所有指定端口和根端口学习的MAC地址。 不再使用TCN报文,报文传送更直接迅速。RSTP的TC传播802.1W与802.1D相兼容： RSTP的端口在三秒钟定时器后接收到STP的报文，则端口协议将切换到STP协议 切换到STP协议的RSTP端口将丧失快速收敛特性 出现STP与RSTP混用的情况，建议将STP设备放在网络边缘2.6.3 时序 请参考STP的时序介绍：RSTP抓包截图：RSTP抓包截图3 网络层协议报文3.1 IP报文头IPV4报文头格式IPV4报文头格式RFC截图以太网报文

23、头： 类型：IP报文的类型为0x0800；IP报文头： Version：4比特；表示版本；目前为4；即0100 IHL：Internet Header Length 首部长度；占4比特。是头部占32比特的数字，包括可选项。普通IP数据报（没有任何选项），该字段的值是5，即160比特=20字节。此字段最大值为60字节； 服务类型（Type of Service ，TOS）字段：占8比特。其中前3比特为优先权子字段（Precedence，现已被忽略）。第8比特保留未用。第4至第7比特分别代表延迟、吞吐量、可靠性和花费。当它们取值为1时分别代表要求最小时延、最大吞吐量、最高可靠性和最小费用。这4比特

24、的服务类型中只能置其中1比特为1。可以全为0，若全为0则表示一般服务。服务类型字段声明了数据报被网络系统传输时可以被怎样处理。例如：TELNET协议可能要求有最小的延迟，FTP协议（数据）可能要求有最大吞吐量，SNMP协议可能要求有最高可靠性，NNTP（Network News Transfer Protocol，网络新闻传输协议）可能要求最小费用，而ICMP协议可能无特殊要求（4比特全为0）。实际上，大部分主机会忽略这个字段，但一些动态路由协议如OSPF（Open Shortest Path First Protocol）、IS-IS（Intermediate System to Inter

25、mediate System Protocol）可以根据这些字段的值进行路由决策。 总长度字段：占16比特。指明整个数据报的长度（以字节为单位）。最大长度为65535字节。 标志字段：占16比特。用来唯一地标识主机发送的每一份数据报。通常每发一份报文，它的值会加1。 标志位字段：占3比特。标志一份数据报是否要求分段。 段偏移字段：占13比特。如果一份数据报要求分段的话，此字段指明该段偏移距原始数据报开始的位置 生存期（TTL：Time to Live）字段：占8比特。用来设置数据报最多可以经过的路由器数。由发送数据的源主机设置，通常为32、64、128等。每经过一个路由器，其值减1，直到0时该

26、数据报被丢弃 协议字段：占8比特。指明IP层所封装的上层协议类型，如ICMP（1）、IGMP（2） 、TCP（6）、UDP（17）等 头部校验和字段：占16比特。内容是根据IP头部计算得到的校验和码。计算方法是：对头部中每个16比特进行二进制反码求和。（和ICMP、IGMP、TCP、UDP不同，IP不对头部后的数据进行校验） 源IP地址、目标IP地址字段：各占32比特。用来标明发送IP数据报文的源主机地址和接收IP报文的目标主机地址 可选项字段：占32比特。用来定义一些任选项：如记录路径、时间戳等。这些选项很少被使用，同时并不是所有主机和路由器都支持这些选项。可选项字段的长度必须是32比特的整

27、数倍，如果不足，必须填充0以达到此长度要求3.2 ARP协议报文3.2.1 语法ARP报文格式以太网类型为0x0806代表ARP协议ARP报文格式：前四个字段用来指定后四个字段的类型和长度 硬件地址类型：本地网络的硬件类型，例如10 Mb 的Ethernet，是以0001 为代码。 协议类型：表示ARP 提供解析的协议类型，常为IP 协议， IP 是以0080 为代码。 硬件地址长度：表示该类型的硬件地址長度，例如Ethernet 和 Token Ring 为06，而Frame Relay 为02。 协议地址长度：通常表示IP 位址的长度，IPv4 为04 OP:操作资源，具体操作如下。ARP

28、可以用于其他类型的网络，可以解析IP地址以外的地址3.2.2 语义 ARP（AddressResolutionProtocol）：地址解析用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）是属于链路层的协议。以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP RARP：RARP以与ARP相反的方式工作。RARP发出要反向解析的物理地址并希望返回其对应的IP地址，应答包括由能够提供所需信息的RARP服务器发出的IP地址。虽

29、然发送方发出的是广播信息，RARP规定只有RARP服务器能产生应答。许多网络指定多个RARP服务器，这样做既是为了平衡负载也是为了作为出现问题时的备份 ARP proxy：代理ARP是ARP协议的一个变种。 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对

30、网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。 免费ARP：免费ARP报文是一种特殊的ARP报文，该报文中携带的发送端IP地址和目标IP地址都是本机IP地址，报文源MAC地址是本机MAC地址，报文的目的MAC地址是广播地址。设备通过对外发送免费ARP报文来实现以下功能：1、确定其它设备的IP地址是否与本机的IP地址冲突。当其它设备收到免费ARP报文后，如果发现报文中的IP地址和自己的IP地址相同，则给发送免费ARP报文的设备返回一个ARP应答，告知该设备IP地址冲突。2、设备改变了硬件地址，通过发送免费ARP报文通知其它设备更新ARP表项。3.2.3 时序 每个主机上都有一个ARP高速缓存，即ARP表 ARP过程的举例： 假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2。该命令会通过ICMP协议发送ICMP数据包。 该过程需要经过下面的步骤：2、 应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序