第4章網絡層第4章

網絡層4.1網絡層提供的兩種服務4.2網際協議IP4.3劃分子網和構造超網4.4網際控制報文協議ICMP4.5互聯網的路由選擇協議4.6IPv64.7IP多播4.8虛擬專用網VPN和網絡地址轉換NAT4.9多協議標記交換MPLS4.1網絡層提供的兩種服務在計算機網絡領域，網絡層應該向運輸層提供怎樣的服務（“面向連接”還是“無連接”）曾引起了長期的爭論。爭論焦點的實質就是：在計算機通信中，可靠交付應當由誰來負責？是網絡還是端系統？一種觀點：讓網絡負責可靠交付這種觀點認為，應借助于電信網的成功經驗，讓網絡負責可靠交付，計算機網絡應模仿電信網絡，使用面向連接的通信方式。通信之前先建立虛電路(VirtualCircuit)，以保證雙方通信所需的一切網絡資源。如果再使用可靠傳輸的網絡協議，就可使所發送的分組無差錯按序到達終點，不丟失、不重復。虛電路服務應用層運輸層網絡層數據鏈路層物理層應用層運輸層網絡層數據鏈路層物理層H1H2虛電路H1

發送給H2

的所有分組都沿著同一條虛電路傳送虛電路是邏輯連接虛電路表示這只是一條邏輯上的連接，分組都沿著這條邏輯連接按照存儲轉發方式傳送，而并不是真正建立了一條物理連接。請注意，電路交換的電話通信是先建立了一條真正的連接。因此分組交換的虛連接和電路交換的連接只是類似，但并不完全一樣。另一種觀點：網絡提供數據報服務互聯網的先驅者提出了一種嶄新的網絡設計思路。網絡層向上只提供簡單靈活的、無連接的、盡最大努力交付的數據報服務。網絡在發送分組時不需要先建立連接。每一個分組（即IP數據報）獨立發送，與其前后的分組無關（不進行編號）。網絡層不提供服務質量的承諾。即所傳送的分組可能出錯、丟失、重復和失序（不按序到達終點），當然也不保證分組傳送的時限。盡最大努力交付由于傳輸網絡不提供端到端的可靠傳輸服務，這就使網絡中的路由器可以做得比較簡單，而且價格低廉（與電信網的交換機相比較）。如果主機（即端系統）中的進程之間的通信需要是可靠的，那么就由網絡的主機中的運輸層負責可靠交付（包括差錯處理、流量控制等）。采用這種設計思路的好處是：網絡的造價大大降低，運行方式靈活，能夠適應多種應用。互連網能夠發展到今日的規模，充分證明了當初采用這種設計思路的正確性。數據報服務應用層運輸層網絡層數據鏈路層物理層應用層運輸層網絡層數據鏈路層物理層H1H2IP數據報丟失H1

發送給H2

的分組可能沿著不同路徑傳送對比的方面虛電路服務數據報服務思路可靠通信應當由網絡來保證可靠通信應當由用戶主機來保證連接的建立必須有不需要終點地址僅在連接建立階段使用，每個分組使用短的虛電路號每個分組都有終點的完整地址分組的轉發屬于同一條虛電路的分組均按照同一路由進行轉發每個分組獨立選擇路由進行轉發當結點出故障時所有通過出故障的結點的虛電路均不能工作出故障的結點可能會丟失分組，一些路由可能會發生變化分組的順序總是按發送順序到達終點到達終點時不一定按發送順序端到端的差錯處理和流量控制可以由網絡負責，也可以由用戶主機負責由用戶主機負責虛電路服務與數據報服務的對比4.2網際協議IP4.2.1虛擬互連網絡4.2.2分類的IP地址4.2.3IP地址與硬件地址4.2.4地址解析協議ARP4.2.5IP數據報的格式4.2.6IP層轉發分組的流程4.2網際協議IP網際協議IP是TCP/IP體系中兩個最主要的協議之一。與IP協議配套使用的還有三個協議：地址解析協議ARP(AddressResolutionProtocol)網際控制報文協議ICMP(InternetControlMessageProtocol)網際組管理協議IGMP(InternetGroupManagementProtocol)網際層的IP協議及配套協議各種應用層協議

網絡接口層(HTTP,FTP,SMTP等)物理硬件運輸層TCP,UDP應用層ICMPIPARP與各種網絡接口網絡層（網際層）IGMP4.2.1虛擬互連網絡將網絡互連并能夠互相通信，會遇到許多問題需要解決，如：不同的尋址方案不同的最大分組長度不同的網絡接入機制不同的超時控制不同的差錯恢復方法不同的狀態報告方法不同的路由選擇技術不同的用戶接入控制不同的服務（面向連接服務和無連接服務）不同的管理與控制方式等如何將異構的網絡互相連接起來？使用一些中間設備進行互連將網絡互相連接起來要使用一些中間設備。中間設備又稱為中間系統或中繼(relay)系統。有以下五種不同的中間設備：物理層中繼系統：轉發器(repeater)。數據鏈路層中繼系統：網橋或橋接器(bridge)。網絡層中繼系統：路由器(router)。網橋和路由器的混合物：橋路器(brouter)。網絡層以上的中繼系統：網關(gateway)。

網絡互連使用路由器當中繼系統是轉發器或網橋時，一般并不稱之為網絡互連，因為這僅僅是把一個網絡擴大了，而這仍然是一個網絡。網關由于比較復雜，目前使用得較少。網絡互連都是指用路由器進行網絡互連和路由選擇。由于歷史的原因，許多有關TCP/IP

的文獻將網絡層使用的路由器稱為網關。

互連網絡與虛擬互連網絡網絡網絡網絡網絡網絡(a)互連網絡路由器(b)虛擬互連網絡

虛擬互連網絡（互聯網）IP網的概念虛擬互連網絡的意義所謂虛擬互連網絡也就是邏輯互連網絡，它的意思就是互連起來的各種物理網絡的異構性本來是客觀存在的，但是我們利用IP協議就可以使這些性能各異的網絡從用戶看起來好像是一個統一的網絡。使用IP協議的虛擬互連網絡可簡稱為IP網。使用虛擬互連網絡的好處是：當互聯網上的主機進行通信時，就好像在一個網絡上通信一樣，而看不見互連的各具體的網絡異構細節。如果在這種覆蓋全球的IP網的上層使用TCP協議，那么就是現在的互聯網(Internet)。5432154321主機H1

主機H2R1R4R5R2R3R1R2R3H1R5H2R4間接交付間接交付間接交付間接交付間接交付直接交付3221132211322113221132211分組在互聯網中的傳送互聯網可以由多種異構網絡互連組成。從網絡層看IP數據報的傳送如果我們只從網絡層考慮問題，那么IP數據報就可以想象是在網絡層中傳送。網絡層網絡層網絡層網絡層網絡層網絡層網絡層IP數據報H1R1R2R3R4R5H24.2.2分類的IP地址在TCP/IP體系中，IP地址是一個最基本的概念。本部分重點學習：1.IP地址及其表示方法2.常用的三種類別的IP地址1.IP地址及其表示方法我們把整個因特網看成為一個單一的、抽象的網絡。IP地址就是給每個連接在互聯網上的主機（或路由器）分配一個在全世界范圍是唯一的32位的標識符。IP地址現在由互聯網名字和數字分配機構ICANN(InternetCorporationforAssignedNamesandNumbers)進行分配。IP地址的編址方法分類的IP地址。這是最基本的編址方法，在1981年就通過了相應的標準協議。子網的劃分。這是對最基本的編址方法的改進，其標準[RFC950]在1985年通過。構成超網。這是比較新的無分類編址方法。1993年提出后很快就得到推廣應用。分類IP地址將IP地址劃分為若干個固定類。每一類地址都由兩個固定長度的字段組成，其中一個字段是網絡號net-id，它標志主機（或路由器）所連接到的網絡，而另一個字段則是主機號host-id，它標志該主機（或路由器）。主機號在它前面的網絡號所指明的網絡范圍內必須是唯一的。由此可見，一個IP地址在整個互聯網范圍內是唯一的。分類IP地址這種兩級的IP地址結構如下：這種兩級的IP地址可以記為：IP地址::={<網絡號>,<主機號>}(4-1)::=代表“定義為”32位網絡號主機號各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101A類地址的網絡號字段net-id為1字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101B類地址的網絡號字段net-id為2字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101C類地址的網絡號字段net-id為3字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101A類地址的主機號字段host-id為3字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101B類地址的主機號字段host-id為2字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101C類地址的主機號字段host-id為1字節各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101D類地址是多播地址各類IP地址的網絡號字段和主機號字段net-id24位host-id24位net-id16位net-id8位0A類地址host-id16位B類地址C類地址011host-id8位D類地址1

1

1

0多播地址E類地址保留為今后使用1

1

1

101E類地址保留為今后使用點分十進制記法10000000000010110000001100011111機器中存放的IP地址是32位二進制代碼10000000000010110000001100011111每8位為一組采用點分十進制記法則進一步提高可讀性1128

11331將每8位的二進制數轉換為十進制數點分十進制記法舉例32位二進制數等價的點分十進制數100000010011010000000110000000001100000000000101001100000000001100001010000000100000000000100101710000000000010100000001000000011100000001000000011111111000000002.常用的三種類別的IP地址網絡類別最大可指派的網絡數第一個可指派的網絡號最后一個可指派的網絡號每個網絡中最大主機數A126(27–2)112616777214B16383(214–1)128.1191.25565534C2097151(221–1)192.0.1223.255.255254IP地址的指派范圍一般不使用的特殊的IP地址網絡號主機號源地址使用目的地址使用代表的意思00可以不可在本網絡上的本主機（見6.6節DHCP協議）0host-id可以不可在本網絡上的某臺主機host-id全1全1不可可以只在本網絡上進行廣播（各路由器均不轉發）net-id全1不可可以對net-id上的所有主機進行廣播127非全0或全1的任何數可以可以用作本地軟件環回測試之用IP地址的一些重要特點(1)IP地址是一種分等級的地址結構。分兩個等級的好處是：第一，IP地址管理機構在分配IP地址時只分配網絡號，而剩下的主機號則由得到該網絡號的單位自行分配。這樣就方便了IP地址的管理第二，路由器僅根據目的主機所連接的網絡號來轉發分組（而不考慮目的主機號），這樣就可以使路由表中的項目數大幅度減少，從而減小了路由表所占的存儲空間。IP地址的一些重要特點(2)實際上IP地址是標志一個主機（或路由器）和一條鏈路的接口。當一個主機同時連接到兩個網絡上時，該主機就必須同時具有兩個相應的IP地址，其網絡號net-id必須是不同的。這種主機稱為多歸屬主機(multihomedhost)。由于一個路由器至少應當連接到兩個網絡（這樣它才能將IP數據報從一個網絡轉發到另一個網絡），因此一個路由器至少應當有兩個不同的IP地址。IP地址的一些重要特點(3)用轉發器或網橋連接起來的若干個局域網仍為一個網絡，因此這些局域網都具有同樣的網絡號net-id。(4)所有分配到網絡號net-id的網絡，無論是范圍很小的局域網，還是可能覆蓋很大地理范圍的廣域網，都是平等的。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的。圖中的網絡號就是IP地址中的net-id互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的。圖中的網絡號就是IP地址中的net-id。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的。圖中的網絡號就是IP地址中的net-id。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網在同一個局域網上的主機或路由器的IP地址中的網絡號必須是一樣的。圖中的網絡號就是IP地址中的net-id。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網路由器總是具有兩個或兩個以上的IP地址。路由器的每一個接口都有一個不同網絡號的IP地址。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網路由器總是具有兩個或兩個以上的IP地址。路由器的每一個接口都有一個不同網絡號的IP地址。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網路由器總是具有兩個或兩個以上的IP地址。路由器的每一個接口都有一個不同網絡號的IP地址。互聯網中的IP地址B222.1.1.R1222.1.2.R3R2222.1.3.LAN3N3N222.1.6.N1LAN2LAN1互聯網兩個路由器直接相連的接口處，可指明也可不指明IP地址。如指明IP地址，則這一段連線就構成了一種只包含一段線路的特殊“網絡”。現在常不指明IP地址。4.2.3IP地址與硬件地址IP地址與硬件地址是不同的地址。從層次的角度看，硬件地址（或物理地址）是數據鏈路層和物理層使用的地址。IP地址是網絡層和以上各層使用的地址，是一種邏輯地址（稱IP地址是邏輯地址是因為IP地址是用軟件實現的）。4.2.3IP地址與硬件地址TCP報文IP數據報MAC幀應用層數據首部首部尾部首部鏈路層及以下使用硬件地址硬件地址網絡層及以上使用IP地址IP地址IP地址與硬件地址的區別IP地址放在IP數據報的首部，而硬件地址則放在MAC幀的首部。HA1HA5HA4HA3HA6主機H1主機H2路由器R1HA為硬件地址路由器R2HA2IP1IP2局域網局域網局域網通信的路徑：H1→經過R1轉發→再經過R2轉發→H2查找路由表查找路由表IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數據報從協議棧的層次上看數據的流動HA1HA5HA4HA3HA6主機H1主機H2路由器R1HA為硬件地址路由器R2HA2IP1IP2局域網局域網局域網從虛擬的IP層上看IP數據報的流動HA1HA5HA4HA3HA6主機H1主機H2路由器R1HA為硬件地址路由器R2HA2IP1IP2局域網局域網局域網IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數據報在鏈路上看MAC幀的流動HA1HA5HA4HA3HA6主機H1主機H2路由器R1HA為硬件地址路由器R2HA2IP1IP2局域網局域網局域網IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP數據報在IP層抽象的互聯網上只能看到IP數據報。圖中的IP1→IP2

表示從源地址IP1

到目的地址IP2

。兩個路由器的IP地址并不出現在IP數據報的首部中。IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP1→IP2IP1→IP2IP1→IP2IP數據報路由器只根據目的站的IP地址的網絡號進行路由選擇。IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP1→IP2IP1→IP2IP1→IP2IP數據報在具體的物理網絡的鏈路層只能看見MAC幀而看不見IP數據報IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網IP2IP4IP3IP5路由器R2MAC幀從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP1→IP2IP1→IP2IP1→IP2IP數據報IP層抽象的互聯網屏蔽了下層很復雜的細節。在抽象的網絡層上討論問題，就能夠使用統一的、抽象的IP地址研究主機和主機或主機和路由器之間的通信。IP1HA1HA5HA4HA3HA6HA2IP6主機H1主機H2路由器R1IP層上的互聯網MAC幀IP2IP4IP3IP5路由器R2從HA1

到HA3從HA4

到HA5從HA6

到HA2MAC幀MAC幀IP1→IP2IP1→IP2IP1→IP2IP數據報主機H1

與H2

通信中使用的

IP地址

與

硬件地址HA

在網絡層寫入IP數據報首部的地址在數據鏈路層寫入MAC幀首部的地址源地址目的地址源地址目的地址從H1到R1IP1IP2HA1HA3從R1到R2IP1IP2HA4HA5從R2到H2IP1IP2HA6HA24.2.4地址解析協議ARP通信時使用了兩個地址：IP地址（網絡層地址）MAC地址（數據鏈路層地址）每個接口都有兩個地址000-15-C5-C6-CC-07000-15-C5-C8-C4-95600-15-C5-C6-C8-11IP地址MAC

地址LAN地址解析協議ARP的作用已經知道了一個機器（主機或路由器）的IP地址，如何找出其相應的硬件地址？地址解析協議ARP就是用來解決這樣的問題的。網絡層ARPIP地址硬件地址IPIGMPICMPARPARP協議的作用ARP作用：從網絡層使用的IP地址，解析出在數據鏈路層使用的硬件地址。地址解析協議ARP要點不管網絡層使用的是什么協議，在實際網絡的鏈路上傳送數據幀時，最終還是必須使用硬件地址。每一個主機都設有一個ARP高速緩存(ARPcache)，里面有所在的局域網上的各主機和路由器的IP地址到硬件地址的映射表。<IPaddress；MACaddress；TTL>TTL(TimeToLive)：地址映射有效時間。地址解析協議ARP要點當主機A欲向本局域網上的某個主機B發送IP數據報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網將該MAC幀發往此硬件地址。如沒有，

ARP進程在本局域網上廣播發送一個

ARP請求分組。收到

ARP響應分組后，將得到的IP地址到硬件地址的映射寫入ARP高速緩存。地址解析協議ARP要點ARP請求分組：包含發送方硬件地址/發送方IP地址/目標方硬件地址(未知時填0)/目標方IP地址。本地廣播ARP請求（路由器不轉發ARP請求）。ARP響應分組：包含發送方硬件地址/發送方IP地址/目標方硬件地址/目標方IP地址。ARP分組封裝在物理網絡的幀中傳輸。ARP響應AYXBZ主機B向A發送ARP響應分組主機A廣播發送ARP請求分組ARP請求ARP請求ARP請求ARP請求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是，硬件地址是00-00-C0-15-AD-18我想知道主機

的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18ARP高速緩存的作用存放最近獲得的IP地址到MAC地址的綁定，以減少ARP廣播的數量。為了減少網絡上的通信量，主機A在發送其ARP請求分組時，就將自己的IP地址到硬件地址的映射寫入ARP請求分組。當主機B收到A的ARP請求分組時，就將主機A的這一地址映射寫入主機B自己的ARP高速緩存中。這對主機B以后向A發送數據報時就更方便了。應當注意的問題ARP是解決同一個局域網上的主機或路由器的IP地址和硬件地址的映射問題。如果所要找的主機和源主機不在同一個局域網上，那么就要通過ARP找到一個位于本局域網上的某個路由器的硬件地址，然后把分組發送給這個路由器，讓這個路由器把分組轉發給下一個網絡。剩下的工作就由下一個網絡來做。應當注意的問題（續）從IP地址到硬件地址的解析是自動進行的，主機的用戶對這種地址解析過程是不知道的。只要主機或路由器要和本網絡上的另一個已知IP地址的主機或路由器進行通信，ARP協議就會自動地將該IP地址解析為鏈路層所需要的硬件地址。使用ARP的四種典型情況網1網3網2R2R1H1H2H3H4使用ARP的四種典型情況發送方是主機，要把IP數據報發送到本網絡上的另一個主機。這時用ARP找到目的主機的硬件地址。發送方是主機，要把IP數據報發送到另一個網絡上的一個主機。這時用ARP找到本網絡上的一個路由器的硬件地址。剩下的工作由這個路由器來完成。發送方是路由器，要把IP數據報轉發到本網絡上的一個主機。這時用ARP找到目的主機的硬件地址。發送方是路由器，要把IP數據報轉發到另一個網絡上的一個主機。這時用ARP找到本網絡上另一個路由器的硬件地址。剩下的工作由這個路由器來完成。什么？我們不直接使用硬件地址進行通信？由于全世界存在著各式各樣的網絡，它們使用不同的硬件地址。要使這些異構網絡能夠互相通信就必須進行非常復雜的硬件地址轉換工作，因此幾乎是不可能的事。IP編址把這個復雜問題解決了。連接到互聯網的主機只需各自擁有一個唯一的IP地址，它們之間的通信就像連接在同一個網絡上那樣簡單方便，因為上述的調用ARP的復雜過程都是由計算機軟件自動進行的，對用戶來說是看不見這種調用過程的。因此，在虛擬的IP網絡上用IP地址進行通信給廣大的計算機用戶帶來了很大的方便。4.2.5IP數據報的格式一個IP數據報由首部和數據兩部分組成。首部的前一部分是固定長度，共20字節，是所有IP數據報必須具有的。在首部的固定部分的后面是一些可選字段，其長度是可變的。固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分數據部分首部IP數據報首部發送在前IP數據報由首部和數據兩部分組成固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分數據部分首部IP數據報首部發送在前首部的前一部分是固定長度，共20字節，是所有IP數據報必須具有的。固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分數據部分首部IP數據報首部發送在前可選字段，其長度是可變的固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部版本——占4位，指IP協議的版本。目前的IP協議版本號為4(即IPv4)。1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部首部長度——占4位，可表示的最大數值是15個單位(一個單位為4字節)，因此IP的首部長度的最大值是60字節。1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部區分服務——占8位，用來獲得更好的服務。在舊標準中叫做服務類型，但實際上一直未被使用過。1998年這個字段改名為區分服務。只有在使用區分服務（DiffServ）時，這個字段才起作用。在一般的情況下都不使用這個字段1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部總長度——占16位，指首部和數據之和的長度，單位為字節，因此數據報的最大長度為65535字節。總長度必須不超過最大傳送單元MTU。1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部標識(identification)——占16位，它是一個計數器，用來產生IP數據報的標識。

1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部標志(flag)——占3位，目前只有前兩位有意義。標志字段的最低位是MF(MoreFragment)。MF1表示后面“還有分片”。MF0表示最后一個分片。標志字段中間的一位是DF(Don'tFragment)。只有當DF0時才允許分片。1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部片偏移——占13位，指出：較長的分組在分片后某片在原分組中的相對位置。片偏移以8個字節為偏移單位。1.IP數據報首部的固定部分中的各字段【例4-1】IP數據報分片一數據報的總長度為3820字節，其數據部分的長度為3800字節（使用固定首部），需要分片為長度不超過1420字節的數據報片。因固定首部長度為20字節，因此每個數據報片的數據部分長度不能超過1400字節。于是分為3個數據報片，其數據部分的長度分別為1400、1400和1000字節。原始數據報首部被復制為各數據報片的首部，但必須修改有關字段的值。偏移=0/8=01399數據報片1首部1字節0偏移=1400/8部2數據報片2偏移=2800/8=35028003799首部3數據報片3偏移=0/8=03799需分片的數據報首部數據部分共3800字節14002800字節0【例4-1】IP數據報分片【例4-1】IP數據報分片

總長度標識MFDF片偏移原始數據報382012345000數據報片1142012345100數據報片214201234510175數據報片310201234500350IP數據報首部中與分片有關的字段中的數值固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部生存時間——占8位，記為TTL(TimeToLive)，指示數據報在網絡中可通過的路由器數的最大值。1.IP數據報首部的固定部分中的各字段固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部協議——占8位，指出此數據報攜帶的數據使用何種協議，以便目的主機的IP層將數據部分上交給那個處理過程1.IP數據報首部的固定部分中的各字段運輸層網絡層首部TCPUDPICMPIGMPOSPF數據部分IP數據報協議字段指出應將數據部分交給哪一個進程IP協議支持多種協議，IP數據報可以封裝多種協議PDU。固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部首部檢驗和——占16位，只檢驗數據報的首部，不檢驗數據部分。這里不采用CRC檢驗碼而采用簡單的計算方法。1.IP數據報首部的固定部分中的各字段發送端接收端16位字116位字2置為全0檢驗和16位字n16位反碼算術運算求和……取反碼數據報首部IP數據報16位檢驗和16位字116位字216位檢驗和16位字n16位反碼算術運算求和16位結果……取反碼數據部分若結果為0,則保留；否則，丟棄該數據報數據部分不參與檢驗和的計算IP數據報首部檢驗和的計算采用16位二進制反碼求和算法固定部分可變部分04816192431版本標志生存時間協議標識區分服務總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數據部分首部源地址和目的地址都各占4字節1.IP數據報首部的固定部分中的各字段2.IP數據報首部的可變部分IP首部的可變部分就是一個選項字段，用來支持排錯、測量以及安全等措施，內容很豐富。選項字段的長度可變，從1個字節到40個字節不等，取決于所選擇的項目。增加首部的可變部分是為了增加IP數據報的功能，但這同時也使得IP數據報的首部長度成為可變的。這就增加了每一個路由器處理數據報的開銷。實際上這些選項很少被使用。4.2.6IP層轉發分組的流程假設：有四個A類網絡通過三個路由器連接在一起。每一個網絡上都可能有成千上萬個主機。可以想像，若按目的主機號來制作路由表，每一個路由表就有4萬個項目，即4萬行（每一行對應于一臺主機），則所得出的路由表就會過于龐大。但若按主機所在的網絡地址來制作路由表，那么每一個路由器中的路由表就只包含4個項目（每一行對應于一個網絡），這樣就可使路由表大大簡化。在路由表中，對每一條路由，最主要的是（目的網絡地址，下一跳地址）

網

1

網

4

網

3

網

2目的主機所在的網絡下一跳地址直接交付，接口1直接交付，接口0路由器R2

的路由表鏈路

4鏈路

3鏈路

2鏈路

1R2R3R101R2R3R101查找路由表

根據目的網絡地址就能確定下一跳路由器，這樣做的結果是：IP數據報最終一定可以找到目的主機所在目的網絡上的路由器（可能要通過多次的間接交付）。只有到達最后一個路由器時，才試圖向目的主機進行直接交付。特定主機路由雖然互聯網所有的分組轉發都是基于目的主機所在的網絡，但在大多數情況下都允許有這樣的特例，即為特定的目的主機指明一個路由。采用特定主機路由可使網絡管理人員能更方便地控制網絡和測試網絡，同時也可在需要考慮某種安全問題時采用這種特定主機路由。默認路由(defaultroute)路由器還可采用默認路由以減少路由表所占用的空間和搜索路由表所用的時間。這種轉發方式在一個網絡只有很少的對外連接時是很有用的。默認路由在主機發送IP數據報時往往更能顯示出它的好處。如果一個主機連接在一個小網絡上，而這個網絡只用一個路由器和互聯網連接，那么在這種情況下使用默認路由是非常合適的。R1互聯網路由表N2R2只要目的網絡不是N1和N2，就一律選擇默認路由，把數據報先間接交付路由器R1，讓R1再轉發給下一個路由器。默認路由舉例N1路由器R1充當網絡N1的默認路由器目的網絡下一跳

N1

直接

N2

R2

默認R1必須強調指出IP

數據報的首部中沒有地方可以用來指明“下一跳路由器的IP地址”。當路由器收到待轉發的數據報，不是將下一跳路由器的

IP

地址填入IP數據報，而是送交下層的網絡接口軟件。網絡接口軟件使用

ARP

負責將下一跳路由器的IP

地址轉換成硬件地址，并將此硬件地址放在鏈路層的

MAC

幀的首部，然后根據這個硬件地址找到下一跳路由器。路由器分組轉發算法(1)從數據報的首部提取目的主機的

IP

地址

D,得出目的網絡地址為

N。(2)若網絡

N與此路由器直接相連，則把數據報直接交付目的主機

D；否則是間接交付，執行(3)。(3)若路由表中有目的地址為D的特定主機路由，則把數據報傳送給路由表中所指明的下一跳路由器；否則，執行(4)。(4)若路由表中有到達網絡N的路由，則把數據報傳送給路由表指明的下一跳路由器；否則，執行(5)。(5)若路由表中有一個默認路由，則把數據報傳送給路由表中所指明的默認路由器；否則，執行(6)。(6)報告轉發分組出錯。關于路由表路由表沒有給分組指明到某個網絡的完整路徑。路由表指出，到某個網絡應當先到某個路由器（即下一跳路由器）。在到達下一跳路由器后，再繼續查找其路由表，知道再下一步應當到哪一個路由器。這樣一步一步地查找下去，直到最后到達目的網絡。4.3劃分子網和構造超網4.3.1劃分子網4.3.2使用子網時分組的轉發4.3.3無分類編址CIDR（構造超網）4.3.1劃分子網1.從兩級IP地址到三級IP地址在ARPANET的早期，IP地址的設計確實不夠合理：(1)IP地址空間的利用率有時很低。(2)給每一個物理網絡分配一個網絡號會使路由表變得太大因而使網絡性能變壞。(3)兩級的IP地址不夠靈活。

三級IP地址從1985年起在IP地址中又增加了一個“子網號字段”，使兩級的IP地址變成為三級的IP地址。這種做法叫作劃分子網(subnetting)。劃分子網已成為互聯網的正式標準協議。劃分子網的基本思路劃分子網純屬一個單位內部的事情。單位對外仍然表現為沒有劃分子網的網絡。從主機號借用若干個位作為子網號

subnet-id，而主機號host-id也就相應減少了若干個位。IP地址::={<網絡號>,<子網號>,<主機號>}(4-2)32位本地地址網絡號主機號子網號劃分子網的基本思路（續）凡是從其他網絡發送給本單位某個主機的IP數據報，仍然是根據IP數據報的目的網絡號net-id，先找到連接在本單位網絡上的路由器。然后此路由器在收到IP數據報后，再按目的網絡號

net-id和子網號

subnet-id找到目的子網。最后就將IP數據報直接交付目的主機。………01014563所有到網絡的分組均到達此路由器我的網絡地址是R1R3R2網絡一個未劃分子網的B類網絡劃分為三個子網后對外仍是一個網絡01014563………子網子網

子網所有到達網絡的分組均到達此路由器網絡R1R3R2劃分子網后變成了三級結構當沒有劃分子網時，IP地址是兩級結構。劃分子網后IP地址就變成了三級結構。劃分子網只是把IP地址的主機號host-id這部分進行再劃分，而不改變IP地址原來的網絡號net-id。32位本地地址網絡號主機號子網號劃分子網后變成了三級結構優點減少了IP地址的浪費使網絡的組織更加靈活更便于維護和管理劃分子網純屬一個單位內部的事情，對外部網絡透明，對外仍然表現為沒有劃分子網的一個網絡。2.子網掩碼從一個

IP

數據報的首部并無法判斷源主機或目的主機所連接的網絡是否進行了子網劃分。使用子網掩碼(subnetmask)可以找出IP地址中的子網部分。規則：子網掩碼長度＝32位某位＝1：IP地址中的對應位為網絡號和子網號某位＝0：IP地址中的對應位為主機號IP地址的各字段和子網掩碼0兩級IP地址子網號為3的網絡的網絡號三級IP地址主機號三級IP地址的子網掩碼網絡號主機號子網的網絡地址111111111111111111111111000000000網絡號子網號主機號3.33.10(IP地址)AND(子網掩碼)=網絡地址網絡號主機號兩級IP地址網絡號三級IP地址主機號網絡號主機號子網號子網號三級IP地址的子網掩碼子網的網絡地址11111111111111111111111100000000網絡號子網號0逐位進行AND運算111111111111111111111111000000000000000000000000111111111111111111111111000000000000000000000000網絡號網絡號主機號為全0網絡號網絡地址A類地址默認子網掩碼網絡地址B類地址默認子網掩碼網絡地址C類地址默認子網掩碼主機號為全0主機號為全0默認子網掩碼子網掩碼是一個重要屬性子網掩碼是一個網絡或一個子網的重要屬性。路由器在和相鄰路由器交換路由信息時，必須把自己所在網絡（或子網）的子網掩碼告訴相鄰路由器。路由器的路由表中的每一個項目，除了要給出目的網絡地址外，還必須同時給出該網絡的子網掩碼。若一個路由器連接在兩個子網上就擁有兩個網絡地址和兩個子網掩碼。子網劃分方法有固定長度子網和變長子網兩種子網劃分方法。在采用固定長度子網時，所劃分的所有子網的子網掩碼都是相同的。雖然根據已成為互聯網標準協議的RFC950文檔，子網號不能為全1或全0，但隨著無分類域間路由選擇CIDR的廣泛使用，現在全1和全0的子網號也可以使用了，但一定要謹慎使用，確認你的路由器所用的路由選擇軟件是否支持全0或全1的子網號這種較新的用法。劃分子網增加了靈活性，但卻減少了能夠連接在網絡上的主機總數。子網號的位數子網掩碼子網數每個子網的主機數2216382368190414409453020466621022712651082542549285101261092102262112420463012404094141348819061452163822B類地址的子網劃分選擇（使用固定長度子網）表中的“子網號的位數”中沒有0,1,15和16這四種情況，因為這沒有意義。141.14.010000001111111111111111

11000000【例4-2】已知IP地址是4，子網掩碼是。試求網絡地址。(a)點分十進制表示的IP地址(c)子網掩碼是000000004.001001000141.14..24(b)IP地址的第3字節是二進制(d)IP地址與子網掩碼逐位相與(e)網絡地址（點分十進制表示）141.14.010000001111111111111111

11100000【例4-3】上例中，若子網掩碼改為，試求網絡地址，討論所得結果。(a)點分十進制表示的IP地址(c)子網掩碼是000000004..001001000141.14..24(b)IP地址的第3字節是二進制(d)IP地址與子網掩碼逐位相與(e)網絡地址（點分十進制表示）不同的子網掩碼得出相同的網絡地址。但不同的掩碼的效果是不同的。4.3.2使用子網時分組的轉發在不劃分子網的兩級IP地址下，從IP地址得出網絡地址是個很簡單的事。但在劃分子網的情況下，從IP地址卻不能唯一地得出網絡地址來，這是因為網絡地址取決于那個網絡所采用的子網掩碼，但數據報的首部并沒有提供子網掩碼的信息。因此分組轉發的算法也必須做相應的改動。在劃分子網情況下路由器轉發分組的算法(1)從收到的分組的首部提取目的IP地址D。(2)先用各網絡的子網掩碼和D逐位相“與”，看是否和相應的網

絡地址匹配。若匹配，則將分組直接交付。否則就是間接交付，

執行(3)。(3)若路由表中有目的地址為D的特定主機路由，則將分組傳送給

指明的下一跳路由器；否則，執行(4)。(4)對路由表中的每一行，將子網掩碼和D逐位相“與”。若結果與該行的目的網絡地址匹配，則將分組傳送給該行指明的下一跳路由器；否則，執行(5)。(5)若路由表中有一個默認路由，則將分組傳送給路由表中所指明

的默認路由器；否則，執行(6)。(6)報告轉發分組出錯。0目的網絡地址子網掩碼下一跳282828接口0接口1R23源主機H130R1

的路由表（未給出默認路由器）R11R2子網2：網絡地址28

子網掩碼28目的主機H2380129H3子網3：網絡地址

子網掩碼2【例4-4】已知互聯網和路由器R1中的路由表。主機H1向H2發送分組。試討論R1收到H1

向H2發送的分組后查找路由表的過程。子網1：網絡地址

子網掩碼28主機H1要發送分組給H2

要發送的分組的目的IP地址：380目的網絡地址子網掩碼下一跳282828接口0接口1R23源主機H130R1

的路由表（未給出默認路由器）R11R2子網2：網絡地址28

子網掩碼28目的主機H2380129H3子網3：網絡地址

子網掩碼2子網1：網絡地址

子網掩碼28請注意：H1

并不知道H2

連接在哪一個網絡上。H1

僅僅知道H2

的IP地址是38因此H1首先檢查主機38是否連接在本網絡上如果是，則直接交付；否則，就送交路由器R1，并逐項查找路由表。主機H1

首先將

本子網的子網掩碼28

與分組的

IP

地址38逐比特相“與”(AND操作)28AND38的計算255就是二進制的全1，因此255ANDxyz=xyz，這里只需計算最后的128AND138即可。128→10000000138→10001010逐比特AND操作后10000000→128283828逐比特AND操作H1

的網絡地址因此H1必須把分組傳送到路由器R1

然后逐項查找路由表目的網絡地址子網掩碼下一跳282828接口0接口1R203源主機H130R1

的路由表（未給出默認路由器）R11R2子網2：網絡地址28

子網掩碼28目的主機H2380129H3子網3：網絡地址

子網掩碼2子網1：網絡地址