網路層的功能

定義了基於IP協定的邏輯地址

連線不同的媒介型別

選擇資料通過網路的最佳路徑

一.IP封包格式

版本（version）

該欄位包含的是IP的版本號，4bit。目前IP的版本為4（即，IPV4）

首部長度（Header Length）

該欄位用於表示IP封包頭長度，4Bit。IP封包頭最短為20位元組，但是其長度是可變的，具體長度取決於可選項欄位的長度

優先順序與服務型別（priority & Type of service）

該欄位用於表示封包的優先順序和服務型別，8bit。通過在封包中劃分一定優先順序，用於實現Qos（服務品質）的要求

總長度（Total Length）

該欄位用以指示整個IP封包的長度，16bit。最長為65535位元組，包括包頭和資料

識別符號（Identification）

該欄位用於表示IP封包的識別符號，16Bit。當IP對上層資料進行分片時，它將給所有的分片分配同一組編號，然後將這些編號放入識別符號欄位中，保證分片不會被錯誤的重組。路由器將一個包拆分後，所有拆分開的小包被標記相同的值，以便目的端裝置能夠區分哪個包屬於被拆分的包的一部分

標誌（Flags）

標誌欄位，3bit。對當前的包不能進行分片（當該包從一個乙太網傳送到另一個乙太網時），或當一個包被分片後用以指示在一系列的分片中，最後一個分片是否已發出

段偏移量（Fragment offset）

該欄位用於表示段偏移量，13bit。段偏移量中包含的資訊是指在一個分片序列中如何將各分片重新連線起來

TTL（Time to live）

該欄位用於表示 IP封包的生命週期，8Bit。一個封包每經過一個路由器，TTL將減去1，當TTL的值為0時，該封包將被丟棄。可以防止一個封包在網路中無限迴圈的轉發下去

協定號（Protocol）

協定欄位，8bit。該欄位用以指示在IP封包封裝的是哪一個協定，是TCP還是UDP，TCP的協定號為6，UDP的協定號為17

首部效驗和（Header Checksum）

該欄位用於表示效驗和，16bit。接收方和閘道器用來效驗資料有沒有被改動過

二.ICMP協定（網路控制報文協定）

ICMP是一個「錯誤偵測與回饋機制」

通過IP封包封裝的

用來傳送錯誤和控制訊息

三,ICMP協定的封裝

ICMP協定屬於網路層協定

ICMP資料的封裝過程

注：ICMP協定號為1

四.Ping命令

Ping命令基本格式為

C:>ping【-t】【-|位元組數】 【-a】【-i】IP_Address| target_name

windows系統中ping命令常用選項

-t 引數會一直不停的執行ping（同linux系統）

-a 引數可以顯示主機名稱（同linux系統）

-l 引數可以設定Ping包的大小（在linux系統為-s）

-n 指定傳送包的個數（在linux系統為-c）

-s 指定源IP去ping（在linux系統為-I）

跟蹤路由路徑命令

WIN： tracert IP/域名
Linux: traceroute IP/域名

注：win系統的ping命令預設4個包；linux系統的ping命令預設一直拼；主機有兩塊網路卡，ping命令預設一塊網路卡

五.廣播與廣播域

廣播：將廣播地址做為目的地址的資料框

廣播域：網路中能接收到同一個廣播的所有節點的集合

廣播地址為FF-FF-FF-FF-FF-FF

六.ARP協定及工作原理

區域網中主機的通訊：IP地址與MAC地址

1）什麼是ARP協定

Address Resolution Protocol, 地址解析協定，將一個已知的IP地址解析成MAC地址

2）ARP工作原理

1.電腦A想傳送資料給電腦2，會先檢查自己的ARP快取表

2.如果發現要查詢的MAC地址不在表中，就會傳送一個ARP請求廣播，用於發現目的地的MAC地址。ARP請求訊息中包括電腦A的IP地址和MAC地址以及電腦B的IP地址和目的MAC地址（此時為廣播MAC地址FF-FF-FF-FF-FF-FF）

3.交換機收到廣播後做泛洪處理，除電腦A外所有主機收到ARP請求訊息，電腦B以單播方式傳送ARP應答，並在自己的ARP表中快取電腦A的IP

4.電腦A在自己的ARP表中新增電腦B的IP地址和MAC地址的對應關係，以單播方式與電腦B通訊

注：因為都在一個廣播域裡面，所以電腦A知道電腦B的ip地址

七.Windows系統和華為系統中ARP命令

1）Windows

arp -a 檢視ARP快取表

arp -d【IP】 清除ARP快取

arp -s IP MAC ARP靜態繫結

如果提示ARP項新增失敗，解決方案：

1.用管理員模式：電腦左下角「開始」按鈕右鍵，點選「windows powershell(管理員）（A）」或者進入C槽windows\system32資料夾找到cmd.exe,右鍵「以管理員身份執行」再執行arp-s命令

2.（a）netsh interface ipv4 show neighbors 或者netsh i i show in <檢視網路卡介面序號/Idx>

(b) netsh interface ipv4 set neighbors <介面序號>

解除靜態繫結

netsh -c i i delete neighbors ‘Idx’

動態學習到的ARP的老化時間是120s，並且靜態繫結的ARP條目在計算機關機或重新啟動後會消失

2)華為系統

【Huawei】dis mac-address 檢視mac 地址資訊

【Huawei】arp static 繫結APP

【Huawei】undo arp static 解繫結

reset arp all 清除mac地址表

八.ARP攻擊原理

1.欺騙電腦A，盜取電腦A的隱私

注：電腦A存取網際網路的流量需要經過電腦B轉發
這麼操作，電腦B就可以竊取電腦A的個人資訊

2.欺騙電腦A，不讓電腦A連網

注：請勿安裝非法軟體，竊取他人隱私屬於違法行為