数据包格式.docx
《数据包格式.docx》由会员分享,可在线阅读,更多相关《数据包格式.docx(23页珍藏版)》请在冰豆网上搜索。
数据包格式
TCP/IP协议族包括诸如Internet协议(IP)、地址解析协议(ARP)、互联网控制信息协议(ICMP)、用户数据报协议(UDP)、传输控制协议(TCP)、路由信息协议(RIP)、Telnet、简单邮件传输协议(SMTP)、域名系统(DNS)等协议。
TCP/IP协议的层次结构如图3所示。
图3TCP/IP协议层次结构
(1)应用层应用层包含一切与应用相关的功能,相当于OSI的上面三层。
我们经常使用的HTTP、FTP、Telnet、SMTP等协议都在这一层实现。
(2)传输层传输层负责提供可靠的传输服务。
该层相当于OSI模型中的第4层。
在该层中,典型的协议是TCP(TransmissionControlProtocol)和UDP(UserDatagramProtocol)。
其中,TCP提供可靠、有序的,面向连接的通信服务;而UDP则提供无连接的、不可靠用户数据报服务。
(3)网际层网际层负责网络间的寻址和数据传输,其功能大致相当于OSI模型中的第3层。
在该层中,典型的协议是IP(InternetProtocol)。
(4)网络接口层最下面一层是网络接口层,负责数据的实际传输,相当于OSI模型中的第1、第2层。
在TCP/IP协议族中,对该层很少具体定义。
大多数情况下,它依赖现有的协议传输数据。
TCP/IP与OSI最大的不同在于OSI是一个理论上的网络通信模型,而TCP/IP则是实际运行的网络协议。
TCP/IP实际上是由许多协议组成的协议簇。
图4示出TCP/IP的主要协议分类情况。
整个过程:
1.DHCP请求IP地址的过程
l发现阶段,即DHCP客户端寻找DHCP服务器的阶段。
客户端以广播方式发送DHCPDISCOVER包,只有DHCP服务器才会响应。
l提供阶段,即DHCP服务器提供IP地址的阶段。
DHCP服务器接收到客户端的DHCPDISCOVER报文后,从IP地址池中选择一个尚未分配的IP地址分配给客户端,向该客户端发送包含租借的IP地址和其他配置信息的DHCPOFFER包。
l选择阶段,即DHCP客户端选择IP地址的阶段。
如果有多台DHCP服务器向该客户端发送DHCPOFFER包,客户端从中随机挑选,然后以广播形式向各DHCP服务器回应DHCPREQUEST包,宣告使用它挑中的DHCP服务器提供的地址,并正式请求该DHCP服务器分配地址。
其它所有发送DHCPOFFER包的DHCP服务器接收到该数据包后,将释放已经OFFER(预分配)给客户端的IP地址。
如果发送给DHCP客户端的DHCPOFFER包中包含无效的配置参数,客户端会向服务器发送DHCPCLINE包拒绝接受已经分配的配置信息。
l确认阶段,即DHCP服务器确认所提供IP地址的阶段。
当DHCP服务器收到DHCP客户端回答的DHCPREQUEST包后,便向客户端发送包含它所提供的IP地址及其他配置信息的DHCPACK确认包。
然后,DHCP客户端将接收并使用IP地址及其他TCP/IP配置参数。
2.DHCP客户端续租IP地址的过程
lDHCP服务器分配给客户端的动态IP地址通常有一定的租借期限,期满后服务器会收回该IP地址。
如果DHCP客户端希望继续使用该地址,需要更新IP租约。
实际使用中,在IP地址租约期限达到一半时,DHCP客户端会自动向DHCP服务器发送DHCPREQUEST包,以完成IP租约的更新。
如果此IP地址有效,则DHCP服务器回应DHCPACK包,通知DHCP客户端已经获得新IP租约。
如果DHCP客户端续租地址时发送的DHCPREQUEST包中的IP地址与DHCP服务器当前分配给它的IP地址(仍在租期内)不一致,DHCP服务器将发送DHCPNAK消息给DHCP客户端。
3.DHCP客户端释放IP地址的过程
lDHCP客户端已从DHCP服务器获得地址,并在租期内正常使用,如果该DHCP客户端不想再使用该地址,则需主动向DHCP服务器发送DHCPRELEASE包,以释放该地址,同时将其IP地址设为0.0.0.0。
STP
目的:
为了防止冗余时候产生的环路
原理:
所有VLAN为都加入一棵树里面,将备份链路的端口设为BLOCK,直到主链路出问题之后,BLOCK的链路才成为UP,
端口的状态转换:
BLOCK>LISTEN>LERARN>FORWARD>DISABLE总共经历50秒时间201515
缺点:
收敛速度慢,效率低
解决收敛速度慢的补丁:
POSTFACT/UPLINKFAST(检查直连链路)/BACKBONEFAST(检查非直连链路)
RSTP
目的:
为了解决STP的收敛速度慢和效率低的缺点
RSTP:
每个VLAN一棵树
端口的状态转换:
将STP的非根桥交换机的被动等待状态改为主动协商,当非根桥的交换机收到根桥的BPDU包之后,将其他的接口BLOCK,然后就不产生环路,连接根桥的接口直接UP
缺点:
占用CPU资源
MSTP:
目的:
解决STP与RSTP中的效率低,占用资源的问题
原理:
部分VLAN为一棵树
IPQoS的三种模型:
资源预留,区分服务,MPLS
IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。
IPSec包括AH和ESP。
AH验证头,提供数据源身份认证、数据完整性保护、重放攻击保护功能;ESP安全负载封装,提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。
NetEyeVPN在利用IPSec自身优点的同时,对于其核心和附加功能进行了专业优化和重组。
另外,在IPSec框架当中还有一个必不可少的要素:
Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
●利用AH、ESP,NetEyeVPN可以做到对于C.I.A的满足。
●对于认证过程,NetEyeVPN采用了基于PKI的公钥认证体系,遵循X.509标准。
并且提供单独的密钥管理中心,用以进行密钥的生成、分发、更新和吊销等一系列管理。
所有网关间的数据传输,根据国家有关法令规定,全部采用硬件加密和专有加密算法(NetEyeVPN身份认证过程如下图所示)。
IPSec有两种工作模式——传输模式和通道模式。
这两种模式最根本的区别在于,是否尽心做IPIP封装。
NetEye防火墙工作于通道模式,其特点就是生成新的IP头,替换了原有的IP包头,这样就可以对于原始地址进行隐藏。
原来的IPSec标准是不支持NAT的,可以看到,一旦经过NAT,由于IP包头数据被修改,就等于数据完整性遭受破坏,那么AH或ESP的校验就会失败。
NetEyeVPN采用了最新的标准,利用附加UDP头的方式成功解决了NAT穿越问题。
2000Server提供的服务:
SMTPWEBDNSPOPNNTPDHCPFTPWINS
IIS提供的服务:
WEBNNTPFTPSMTPPOP3