5、网络层

约 12336 字大约 41 分钟

2025-06-18

网络层的主要任务是实现网络互联，进而实现数据包在各网络之间的传输网络层需要解决以下问题：

网络层向运输层提供怎样的服务（可靠传输还是不可靠传输）
网络层寻址问题
路由选择问题因特网(Internet)是目前全世界用户数量最多的互联网，它使用TCP/IP协议栈。由于TCP/IP协议栈的网络层使用网际协议IP，它是整个协议栈的核心协议，因此在TCP/IP协议栈中网络层常称为网际层。综上所述，我们通过学习TCP/IP协议栈的网际层来学习网络层的理论知识和实践技术。

网络层提供的两种服务

面向连接的虚电路服务

核心思想是可靠连接应由网络自身来保证当两台计算机进行通信时，需要先建立网络层的连接（虚电路），以保证通信双方所需的一切网络资源。通信双方沿着已建立的虚电路发送分组目的主机的地址仅在连接建立阶段使用，之后每个分组的首部只需携带一条虚电路编号（构成虚电路的每一段链路都有一个虚电路编号）这种通信方式发送的分组最终正确到达接收方（无差错按序到达，不丢失，不重复）通信结束后需要释放之前所建立的虚电路很多广域分组交换网都使用面向连接的虚电路服务

无连接的数据报服务

核心思想是可靠通信应由用户主机来保证当两台计算机进行通信时不需要建立连接，每个分组可走不同的路径因此每个分组首部必须携带目的主机的完整地址这种通信方式所传送的分组可能误码、丢失、重复、失序由于王厝本身不提供端到端的可靠传输服务，这就使网络中的路由器可以做的比较简单，而且价格低廉因特网采用的就是这种设计思想，也就是将复杂的网络处理功能置于因特网的边缘（用户主机和其内部的运输层），而将相对简单的尽最大努力的分组交付功能置于因特网核心

IPv4地址概述

在TCP/IP体系中，IP地址是一个最基本的概念，我们必须把它弄清楚 IPv4地址就是给因特网(Internet)上的每一台主机(或路由器)的每一个接口分配一个在全世界范围内是唯一的32比特的标识符。 IP地址由因特网名字和数字分配机构ICANN(Intemnet Corporation for Assigned Names and Numbers)进行分配。我国用户可向亚太网络信息中心APNIC(Asia Pacific Network Infomation Center)申请IP地址，需要缴费。 2011年2月3日，互联网号码分配管理局IANA(由ICANN行使职能)宣布，IPv4地址已经分配完毕我国在2014至2015年也逐步停止了向新用户和应用分配IPv4地址。同时全面开展商用部署IPv6 IPv4地址的编址方法经历了如下三个历史阶段: 1981分类编址 1985划分子网 1993误分类编址

IPv4地址的阅读 32比特的IPv4地址不方便阅读、记录和输入等，常采用点分十进制表示方法将32比特每8比特分为一组转化为十进制无符号整数数，中间使用.连接

分类编址的IPv4地址

分类	描述
A类	前8位为网络号最高位必须为0，后24位为主机号
B类	前16位位网络号最高两位必须为10，后16位位主机号
C类	前24位为网络号，最高三位必须为110，后8位位主机号
D类	多播地址，其最高四位必须为1110
E类	保留地址，其最高位必须为1111
只有A类、B类、C类地址才可分配给网络中的主机或路由器的各接口
主机号为全0的地址是网络地址，不能分配给主机或路由器的各接口
主机号为全1的地址是广播地址，不能分配给主机或路由器的各接口

划分子网的IPv4地址

假设一个公司需要申请一个网络地址，如果是c类地址只有254个不够使用，所以就申请了b类网络地址其可分配的ip地址数量达65534个，给每台计算机和路由器接口分配后还有很多剩余，剩余的网络地址只能给该公司使用，不能给其他单位使用随着公司的发展，公司又新增了很多计算机和路由器，需要给该单位划分为三个子网，如果为两个新的子网申请新的网络地址需要等待很长时间并且花费费用，即使申请到了两个新的网络地址也会使其他路由器的路由表新增针对这两个新的网络的路有记录，并且还会浪费之前网络剩余的大量ip地址。因此可以借用16位主机号中的8位作为子网号

32比特的子网掩码可以表明分类IP地址的主机号部分被借用了几个比特作为子网号子网掩码使用连续的比特1来对应网络号和子网号子网掩码使用连续的比特0来对应主机号将划分子网的IPv4地址与其相应的子网掩码进行逻辑与运算就可得到IPv4地址所在子网的网络地址

无分类编址的IPv4地址

划分子网在一定程度上缓解了因特网在发展中遇到的困难，但数量巨大的C类网因为其地址空间太小并没有得到充分使用，而因特网的IP地址仍在加速消耗，整个IPv4地址空间面临全部耗尽的威胁。为此，因特网工程任务组IETF又提出了采用无分类编址的方法来解决IP地址紧张的问题，同时还专门成立IPv6工作组负责研究新版本IP以彻底解决IP地址耗尽问题。 1993年，IETF发布了无分类域间路由选择CIDR(Classless Inter-Domain Routing)的RFC文档:RFC1517~1519和1520。 CIDR消除了传统的A类、B类和C类地址，以及划分子网的概念; CIDR可以更加有效地分配IPv4的地址空间，并且可以在新的IPv6使用之前允许因特网的规模继续增长。

CIDP使用斜线记法，或称CIDR记法，即在IPv4地址后面加上斜线/，在斜线后面写上网络前缀所占用的比特数量如： 128.14.35.7/20表明该32位IPv4地址的前20个比特为网络前缀剩余12个比特位主机号 CIDR实际上是将网络前缀都相同的连续的ip地址组成一个cidr地址块，我们只要知道cidr中的任何一个地址，就可以知道该地址块的全部细节，包括：地址块的最小地址，地址块的最大地址，地址块的地址数量，地址块聚合某类网络（a类，b类，c类）的数量，地址掩码（也可继续称为子网掩码）

路由聚合（构造超网）

为了减少路有记录对路由表的占用，将这五条记录记录成一条，其方法是找共同前缀，前两字节都是相同的，从第三个字节开始不同，将第三个字节写成二进制形式，发现前六个比特是相同的都是000001，再加上前两个字节相同的比特共22位比特相同，将前面的保持不变剩余的10个比特全部取0，然后写成点分十进制形式也就是172.1.4.0/22，这就是聚合后的地址块，也可以称为超网

网络前缀越长，地址块越小，路由越具体，若路由器查表转发分组时发现有多条路由可选，则选择网络前缀最长的那条，这称为最长前缀匹配因为这样的路由更具体。

IPv4地址的应用规划

给定一个ipv4地址块，如何将其划分为更小的地址块，并将这些地址块分配给互联网中的不同网络进而可以给个网络中的主机和路由器接口分配ipv4地址一般有两种方法：

定长的子网掩码FLSM（Fixed Length Subnet Mask）使用同一子网掩码来划分子网每个子网所分配的ip地址数量相同，容易造成ip地址浪费

前三字节为网络号，从主机号中借用3个比特作为子网号，子网数量就等于2^{3=8满足对子网数量的要求，每个子网上地址的数量为2}5=32个满足对子网上ip地址数量的要求所以子网掩码为255.255.255.224（网络号和子网号部分取1，主机号部分取0）使用定长的子网掩码进行子网划分只能划分出2^n个子网，其中n是从主机号部分借用的用来作为子网号的比特数量，每个子网所分配的ip地址数量相同，容易造成ip地址的浪费

变长的子网掩码VLSM（Variable Length Subnet Mask）使用不同的子网掩码来划分子网每个子网所分配的ip地址数量可以不同，减少了ip地址浪费

IP数据包的发送和转发过程

IP数据报的发送和转发包含以下两部分：主机发送IP数据报路由器转发IP数据报

为了将重点放在TCP/IP协议栈的网际层发送和转发IP数据包的过程上，在之后的举例中，我们忽略使用ARP协议来获取目的主机或路由器接口的MAC地址的过程和以太网交换机自学习和转发帧的过程

主机c给主机f发送数据报，它先用自己的ip地址和子网掩码相与就得到自己得网络地址，再将f的地址和自己的子网掩码相与就得到了f的网络地址，然后对比发现不相等就知道了主机c和f不在同一网络，他们之间的通信属于间接交付，c就需要将ip数据包传输给路由器，由路由器转发给f c又怎么知道该交给哪个路由器进行转发呢，用户为了让本网络中的主机能和其他网络中的主机进行通信，就必须给其指定一个本网络中的路由器，由该路由器帮忙进行转发，所指定的路由器也被称为默认网关。对于本例，我们可以将路由器接口0的ip地址指定给该接口所直连网络中的各个主机作为默认网关，同理，可将；路由器接口1的ip地址指定给该接口所直连网络中的各个主机作为默认网关。这样，当本网络中的主机要和其他网络中的主机进行通信时就会把数据报发给默认网关，由默认网关将ip数据报发送出去， ip数据报又如何转发的：默认网关接收到数据报后先检查ip数据报首部是否出错，若出错则直接丢弃该ip数据包并通告源主机，若没有出错则进行转发，路由器根据ip数据包中的目的地址再路由表中查找匹配的条目，若找到匹配的条目，则转发给条目中指示的下一跳，若找不到则丢弃该数据报并通告源主机当我们给路由器接口配置ip地址和子网掩码时，路由器就知道了自己的该接口与哪一个网络是直连的路由器根据ip数据报的目的地址在自己的路由表中查找匹配的条目，逐条检查，将目的地址与路由条目中的地址掩码相与得到目的网络地址，该目的网络地址与路由条目中的目的地址不同则不匹配，再找下一条，如果该目的网络地址与路由条目中的目的网络地址相同，则这条路由条目就是匹配的路由条目，按照它的下一跳指示转发。

例：当主机a要发送广播时它可以由两个广播地址：192.168.0.127（本网络广播地址），255.255.255.255（受限的广播地址），本网络的广播地址只有本网络可以接收，当发送受限的广播地址时数据报发送到路由器时就不再转发了，这是因为路由器隔绝广播域，用来防止广播风暴若a想要给其他网络发送广播，如s2的广播地址为192.168.0.255，a发送的广播在到达路由器时路由器判断是广播就不再转发

静态路由配置及其可能产生的路由环路问题

静态路由配置是指用户或网络管理员使用路由器的相关命令给路由器人工配置路由表这种人工配置方式简单、开销小。但不能及时适应网络状态(流量、拓扑等)的变化一般只在小规模网络中采用。使用静态路由配置可能出现以下导致产生路由环路的错误：

配置错误
聚合了不存在的网络
网络故障 由配置错误导致的路由环路

假设r2要给转发数据包到黄色网络时，r2路由表在做人工配置时配置错发送到黄色网络的下一跳配置到r3的接口0了，这样r2转发时就会转发给r3的接口0，r3收到后查表发现要发给r2的接口1这样两者就陷入到路由环路了为防止ip数据包在路由环路中永久兜圈，在ip数据包首部设有TTL字段，IP数据包进入路由器后，TTL字段的值减一，若TTL值不等于0，则被路由器转发，否则被丢弃

聚合了不存在的网络产生的路由环路问题

当r2要转发数据报到不存在的网络时，进行查表转发，找到了匹配的路由条目（红色的地址），下一跳转发给该地址，也就是转发给r1的端口1，但对于这个不存在的网络，路由器r2应该不予转发，却错转发给了r1 针对这种情况，我们可以在r2的路由表中添加针对所聚合的、不存在的网络的黑洞路由，黑洞路由的下一跳为null0这是路由器内部的虚拟接口，ip数据报进入它后就有去无回了，也就是路由器丢弃了这个数据报。假设r2要转发数据包到不存在的这个网络，进行查表转发，发现有两个可选的路由条目，根据最长前缀匹配的原则，将会选择黑洞路由

网络故障引发的路由环路

假设r1端口0故障了，r1就自动把路由表上的该网络删除，当r2给r1的0端口发送数据报时发给r1的接口1，r1接收到后查表发现没有数据就使用默认端口0.0.0.0发给r2这样就陷入路由环路这种情况我们可以把故障的网络地址下一跳改为黑洞路由，这样r1收到数据报后查表就把该数据报发送到黑洞路由了。若后来改网络又恢复了，就会把网络条目写入到r1的路由表中，然后把之前设置的黑洞路由设置为失效状态，当它再次故障时就会删除路由条目再把黑洞路由设置为生效状态

路由选择协议

静态路由选择 由人工配置的网络路由、默认路由、特定主机路由、黑洞路由等都属于静态路由。这种人工配置方式简单、开销小，但不能及时适应网络状态(流量、拓扑等)的变化。一般只在小规模网络中采用。

动态路由选择 路由器通过路由选择协议自动获取路由信息比较复杂、开销比较大。能较好地适应网络状态的变化。适用于大规模网络。

因特网所采用的路由选择协议 特点：

自适应：动态路由选择，能较好地适应网络状态地变化
分布式：路由器之间交换路由信息
分层次：将整个因特网划分为许多较小地自治系统（Autonomous System）

常见的路由选择协议

路由选择协议

内部网关协议IGP 路由信息协议RIP：基于距离向量 RIP在因特网上最早使用内部网关路由协议IGRP：IGRP是思科早期私有的协议，现在已被EIGRP取代增强型内部网关路由协议EIGRP：思科私有的，用来取代IGRP的混合型路由协议(结合距离向量和链路状态) 开放式最短路径优先OSPF：基于链路状态OSPF在各种网络中广泛使用中间系统到中间系统IS-IS：集成化IS-IS是ISP骨干网上最长常用的IGP协议
外部网关协议EGP 边界网关协议BGP

路由选择处理机根据所使用的路由选择协议周期性地与其他路由器进行路由信息地交互来更新路由表如果收到的是分组待转发地分组，则根据分组首部的目的地址进行查表转发，若找不到匹配的条目，则丢弃该分组，否则按照匹配条目中所指示的端口进行转发。如果送交网络的分组时路由器之间交换路由信息的路由报文，则把这种分组送交路由选择处理机，路由选择处理机根据分组的内容来更新自己的路由表路由选择处理机除了处理收到的路由报文外，还会周期性地给其他路由器发送自己所知道地路由信息，路由器的各端口还应具有输入输出缓冲区，用于暂存新进入路由器但还来不及处理的分组，和已经处理完毕还来不及发送的分组

路由信息协议RIP的基本工作原理

路由信息协议RIP(Routing Information Protocol)是内部网关协议IGP中最先得到广泛使用的协议之一，其相关标准文档为RFC1058。
RIP要求自治系统AS内的每一个路由器都要维护从它自己到AS内其他每一个网络的距离记录。这是一组距离，称为“距离向量D-V(Distance-Vector)”
RIP使用跳数(Hop Count)作为度量(Metric)来衡量到达目的网络的距离。路由器到直连网络的距离定义为1 路由器到非直连网络的距离定义为所经过的路由器数加1. 允许一条路径最多只能包含15个路由器。“距离”等于16时相当于不可达。因此，RIP只适用于小型互联网。

RIP认为好的路由就是距离短的路由，也就是所通过路由器数量最少的路由（即使这条路由的带宽远小于路由器数量多的路由）当到达同一目的网络由多条距离相等的路由时可以进行等价负载均衡（将通信量均衡地分布到多条等价地路由上） RIP仅和相邻路由器交换信息，交换地信息是自己地路由表，做周期性交换（如吗，每30秒）

路由器刚开始工作时，只知道自己到直连网络的距离为1。每个路由器仅和相邻路由器周期性地交换并更新路由信息。若干次交换和更新后，:每个路由器都知道到达本AS内各网络的最短距离和下一跳地址，称为收敛。 RIP的路由条目更新规则

路由器c将自己的路由表发送给路由器d，d收到后将接受的路由表的距离都+1，下一跳全改为c，然后与自己的路由表对比，如果有到达目的网络更短的距离就将其更新到自己的路由表，如果没有就不更新

RIP存在坏消息传播慢的问题

当r1和n1之间的链路出现故障后会将自己路由表中到达n1的距离修改为16表示n1不可达，然后等待到达周期后把更新后的路由表发送给相邻的路由器，假设r2在收到r1更新的路由表之前发送自己的路由表给r1，r1就会被r2误导以为n1可达，就把路由表中到n1的距离修改+1，然后把更改后错的信息发送给r2，当r2收到这条路由信息后，被该谣言误导，并把自己的路由表到达n1的数据更改+1，然后到达周期后就再发送更改后的信息给r1，这样两者就陷入循环中了，直到双方都把到达n1的距离更新到16时才直到n1不可达，在该过程中r2和r1会出现路由环路

“坏消息传播得慢”又称为路由环路或距离无穷计数问题，这是距离向量算法的一个固有问题。可以采取多种措施减少出现该问题的概率或减小该问题带来的危害。

限制最大路径距离为15(16表示不可达)
当路由表发生变化时就立即发送更新报文(即“触发更新”)，而不仅是周期性发送
让路由器记录收到某特定路由信息的接口，而不让同一路由信息再通过此接口向反方向传送(即“水平分割”) 即使采取了措施也不能彻底避免路由环路问题，这是距离向量算法的本质决定的

因特网分层次路由选择协议

内部网关协议IGP(例如路由信息协议RIP或开放最短路径优先OSPF) 设法使分组在一个自治系统内尽可能有效地从源网络传输到目的网络无需考虑自治系统外部其他方面的策略

外部网关协议EGP(例如边界网关协议BGP) 口在不同自治系统内，度量路由的“代价”(距离，带宽，费用等)可能不同。因此，对于自治系统之间的路由选择，使用“代价”作为度量来寻找最佳路由是不行的。

开放最短路径优先OSPF

开放最短路径优先OSPF(0pen Shortest Path First)，是为克服RIP的缺点在1989年开发出来的。 “开放”表明OSPF协议不是受某一家厂商控制，而是公开发表的 “最短路径优先”是因为使用了Dijkstra提出的最短路径算法SPF。 OSPF是基于链路状态的，而不像RIP那样是基于距离向量的。 OSPF采用SPF算法计算路由，从算法上保证了不会产生路由环路， OSPF不限制网络规模，更新效率高，收敛速度快链路状态是指本路由器都和哪些路由器相邻，以及相应链路的“代价”(cost) “代价”用来表示费用、距离、时延、带宽，等等。这些都由网络管理人员来决定

举例：思科路由器中计算OSPF代价的方法：100Mbps/链路带宽计算结果小于1的值记为1，大于1且有小数的省略小数

OSPF相邻路由器之间通过交互问候(Hello)分组，建立和维护邻居关系。Hello分组封装在IP数据报中，发往组播地址224.0.0.5; 发送周期为10秒 40秒未收到来自邻居路由器的Hello分组，则认为该邻居路由器不可达，

其中协议号为89表示此分组为OSPF分组

使用OSPF的每个路由器都会产生链路状态通告LSA(Link State Advertisement)。LSA中包含以下内容: 直连网络的链路状态信息邻居路由器的链路状态信息 LSA被封装在链路状态更新分组LSU中，采用洪泛法发送，

收到链路状态更新分组的路由器将从自己其他所有接口转发该分组（洪泛转发），这样自治系统中的每个路由器所发送的封装有链路状态通告的链路状态更新分组，会传递给系统中的所有路由器使用OSPF的每个路由器都有一个链路状态数据库LSDB，用于存储LSA，通过各路由器洪泛发送封装有自己LSA的LSU分组，最终会得出相同的链路状态数据库使用OSPF的各路由器基于LSDB进，进行最短路径优先SPF计算，构建出各自到达其他路由器的最短路径，即构建各自的路由表。根据共同构建的LSDB可以得出带权有向图根据该图进行最短路径算法就可以得出以个路由器为根的最短路径

OSPF有以下五种分组类型：

问候(Hello)分组用来发现和维护邻居路由器的可达性。
数据库描述(Database Description)分组向邻居路由器给出自己的链路状态数据库中的所有链路状态项目的摘要信息
链路状态请求(LinkState Request)分组向邻居路由器请求发送某些链路状态项目的详细信息。
链路状态更新(LinkState Update)分组路由器使用这种分组将其链路状态进行洪泛发送，即用洪泛法对全网更新链路状态。
链路状态确认(LinkState Acknowledgment)分组这是对链路状态更新分组的确认分组。

OSPF基本工作过程 相邻路由器之间周期性发送问候分组用于建立和维护邻居关系，建立邻居关系后给邻居路由器发送数据库表述分组，包含自己的链路状态数据库中的所有链路状态摘要信息。若一个路由器收到另一个路由器的数据库描述分组后发现自己缺少其中的某些链路状态项目于是就发送链路状态请求分组，邻居路由器收到后就将其所缺少的链路状态项目的详细信息封装在链路状态更新分组中发送给这个路由器，收到后就将这些所缺少的链路状态项目的详细信息添加到自己的链路状态数据库中，并给邻居路由器发送链路状态确认分组，最终两者的数据链路数据库将达到一致每个周期时间或链路状态发生变化路由器就会发送链路状态更新分组，收到该分组的其他路由器将洪泛转发该分组，并给该路由器发送链路状态确认分组

OSPF在多点接入网络中路由器邻居关系的建立 当OSPF路由器在多点接入网络中建立邻居关系时，如果不采用其他机制将会产生大量的多播分组

如图网络连接，其中路由器两两都为邻居其邻居关系数量为 $\frac{n(n-1)}{2}$

每个路由器都要向其他n-1个路由器发送问候分组和链路状态更新分组

为了减少所发送分组的数量 OSPF采用选举指定路由器DR（designated router）和备用的指定路由器BDR（backup designated router）的方法，所有非DR/BDR只与DR/BDR建立邻居关系邻居关系数量就降低为2(n-1)+1

非DR/BDR之间不能直接交换信息只能通过DR/BDR交换，若DR出现问题则由BDR顶替DR

为了使OSPF能够用于规模很大的网络，OSPF把一个自治系统再划分为若干个更小的范围叫做区域(Area)

每个区域都有一个32比特的区域标识符可以用点分十进制表示，如：主干区域的标识符必须为0，主干区域用于连通其他区域，其他区域的标识符不能为0，且互不相同，每个区域的规模不应太大，一般所包含路由器不超过200个这样将利用洪泛法交换链路状态信息的范围局限于一个区域而不是整个自治系统，这样就减少了整个网络上的通信量

区域内路由器：路由器的所有接口都在同一区域内
区域边界路由器：为了本区域可以和自治系统内其他区域连通，每个区域应该有一个区域边界路由器，它的一个接口用于连通自身所在区域，另一个接口用于连接主干区域
主干路由器：主干区域内的路由器称为主干路由器，连接其的边界路由器也算作主干路由器
自治系统边界路由器：主干区域内专门与自治系统外的其他自治系统交换路由信息边界路由器需要向主干区域发送自己所在区域的链路状态通告，向自己所在区域发送其他区域的链路状态通告。采用分层次划分区域的方法虽然使交换信息的种类增多了，同时也使OSPF协议更复杂了，但这样却使每个区域内部交换路由信息的通信量大大减小，因而使OSPF协议能够用于规模很大的自治系统中。

边界网关协议BGP

在不同自治系统内度量路由的代价（距离、带宽、费用等）可能不同。因此对于自治系统之间的路由选择，使用代价作为度量来寻找最佳路由是不行的自治系统之间还要考虑其他因素（政治、经济、安全等） BGP只能力求寻找一条能够到达目的网络且比较好的路由并非找到一条最佳路由

在配置BGP时，每个自治系统的管理员要选择至少一个路由器作为该自治系统的“BGP发言人，不同自治系统的BGP发言人要交换路由信息，首先必须建立TCP连接，端口号为179 在此TCP连接上交换BGP报文以建立BGP会话，利用BGP会话交换路由信息。使用TCP连接交换路由信息的两个BGP发言人，彼此称为对方的邻站(neighbor)或对等站(peer) BGP发言人除了运行BGP外，还必须运行自己所在自治系统所使用的内部网关协议IGP，例如OSPF或RIP

BGP发言人交换网络可达性的信息(要到达某个网络所要经过的一系列自治系统) 当BGP发言人互相交换了网络可达性的信息后，各BGP发言人就根据所采用的策略从收到的路由信息中找出到达各自治系统的较好的路由。也就是构造出树形结构、不存在回路的自治系统连通图。

BGP-4有以下四种报文

OPEN(打开)报文:用来与相邻的另一个BGP发言人建立关系，使通信初始化
UPDATE(更新)报文:用来通告某一路由的信息，以及列出要撤销的多条路由。
KEEPALIVE(保活)报文:用来周期性地证实邻站的连通性
NOTIFICATION(通知)报文:用来发送检测到的差错。 BGP协议刚运行时，BGP邻站交换整个BGP路由表，但以后只需要在发生变化时更新有变的部分，这样可以节省网络带宽和减少路由器的处理开销

IPv4数据报的首部格式

IP数据报的首部常以32个比特为单位进行描述，图中每一行都由32个比特（4字节）构成，每个小格子称为字段（或域）每个字段或某些字段的组合用来表示IP协议的相关功能

版本占4比特，表示IP协议的版本。通信双方使用的IP协议的版本必须一致。目前广泛使用的IP协议版本号为4(即IPv4)
首部长度占4比特，表示IP数据报首部的长度。该字段的取值以4字节为单位。 也就是说在计算数据报首部长度时需要把首部长度字段乘4才是以字节为单位的长度 最小十进制取值为5，表示IP数据报首部只有20字节固定部分: 最大十进制取值为15，表示IP数据报首部包含20字节固定部分和最大40字节可变部分
可选字段长度从1个字节到40个字节不等。用来支持排错、测量及安全等措施。可选字段增加了IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理IP数据报的开销。实际上可选字段很少被使用。
填充字段确保首部长度为4字节的整数倍，使用全0填充
区分服务占8比特，用来获得更好的服务。该字段在旧标准中叫作服务类型，但实际上一直没有被使用过 1998年，因特网工程任务组IETF把这个字段改名为区分服务。利用该字段的不同数值可提供不同等级的服务质量。只有在使用区分服务时，该字段才起作用。一般情况下都不使用该字段。
总长度占16比特，表示IP数据报的总长度(首部+数据载荷) 最大取值为十进制的65535，以字节为单位。
标识占16比特，属于同一个数据报的各分片数据报应该具有相同的标识。 IP软件维持一个计数器，每产生一个数据报，计数器值加1，并将此值赋给标识字段。
标志占3比特，各比特含义如下： DF位： 1表示不允许分片 0表示允许分片 MF位： 1表示“后面还有分片”; 0表示“这是最后一个分片” 保留位：必须为0
片偏移占13比特，指出分片数据报的数据载荷部分偏移其在原数据报的位置有多少个单位。以8个字节为单位。 标识、标志、片偏移共同用于进行IP数据报分片
生存时间TTL 占8比特，最初以秒为单位，最大生存周期为255秒:路由器转发IP数据报时，将IP数据报首部中的该字段的值减去IP数据报在本路由器上所耗费的时间，若不为0就转发，否则就丢弃。现在以“跳数”为单位，路由器转发IP数据报时，将IP数据报首部中的该字段的值减1，若不为0就转发，否则就丢弃。
协议占8比特，指明IPv4数据报的数据部分是何种协议数据单元。常用的一些协议和相应的协议字段值如下。

协议名称	ICMP	IGMP	TCP	UDP	IPv6	OSPF
协议字段值	1	2	6	17	41	89

首部检验和占16比特，用来检测首部在传输过程中是否出现差错。比CRC检验码简单，称为因特网检验和。 IP数据报每经过一个路由器，路由器都要重新计算首部检验和，因为某些字段(生存时间、标志片偏移等)的取值可能发生变化。由于IP层本身并不提供可靠传输的服务，并且计算首部校验和是一项耗时的操作，因此在IPv6中路由器不再计算首部校验和，从而更快转发IP数据报。
源IP地址和目的IP地址各占32比特，用来填写发送该IP数据报的源主机的IP地址和接收该IP数据报的目的主机的IP地址

网际控制协议ICMP

为了更有效地转发IP数据报和提高交付成功地机会，在网际层使用了网际控制报文协议ICMP（Internet Control Message Protocol）主机或路由器使用ICMP来发送差错报告报文和询问报文 ICMP报文被封装在IP数据报中发送

ICMP差错报告报文有以下五种

终点不可达当路由器或主机不能交付数据报时就向源点发送终点不可达报文，具体再根据ICMP代码字段细分为目的网络不可达、目的主机不可达、目的协议不可达、目的端口不可达、目的网络未知、目的主机未知等13种错误
源点抑制当路由器或主机由于拥塞而丢弃数据报时就向源点发送源点抑制报文，使源点知道应当把数据报的发送速率放慢
时间超过当路由器收到一个目的IP地址不是自己IP地数据报，会将其生存时间TTL字段地值减一，若结果不为0则将该数据报发送出去，如果为0除丢弃该IP数据报外还要向源点发送时间超过报文当终点在预先规定的时间内不能收到一个数据报的全部数据报片时，就把已收到的数据报片都丢弃，也会向源点发送时间超过报文
参数问题当路由器或目的主机收到IP数据报后，根据其首部种的检验和字段发现首部在传输过程中出现了误码，就丢弃该数据报，并向源点发送参数问题报文。
改变路由（重定向）路由器把改变路由报文发送给主机，让主机知道下次应将数据报发送给另外的路由器（更好的线路）

以下情况不应发送ICMP差错报告报文

如果发送的ICMP差错报告报文出错，不在发送ICMP差错报告报文
对第一个分片的数据报片的所有后续数据报片都不发送ICMP差错报告报文
对具有多播地址的数据报都不发送ICMP差错报告报文
对具有特殊地址（如127.0.0.0或0.0.0.0）的数据报不发送ICMP差错报告报文

常用的ICMP询问报文有以下两种

回送请求和回答 ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。这种询问报文用来测试目的站是否可达及了解其有关状态，
时间戳请求和回答 ICMP时间戳请求报文是请某个主机或路由器回答当前的日期和时间。在ICMP时间戳回答报文中有一个32位的字段，其中写入的整数代表从1900年1月1日起到当前时刻一共有多少秒。这种询问报文用来进行时钟同步和测量时间

ICMP应用

分组网间探测PING（Packet InterNet Groper）用来测试主机或路由器间的连通性应用层直接使用网际层的ICMP（没有通过运输层的TCP和UDP）使用ICMP回送请求和回答报文
跟踪路由traceroute 用来测试IP数据报从源主机到达目的主机要经过哪些路由器 Windows版本 tracert命令应用层直接使用网际层ICMP 使用了ICMP回送请求和回答报文以及差错报告报文 Unix版本 traceroute命今在运输层使用UDP协议仅使用ICMP差错报告报文

如果一台主机想要知道给另一台主机发送数据报需要经过哪些路由器可以先发送一个TTL=1的数据报，第一个路由器收到后TTL减为0丢弃后给源主机发送ICMP差错报告报文源主机就知道第一个主机是谁了，然后再发送TTL=2的报文这样就知道第二个主机是谁了，依次类推，直到目的主机接收到数据报发送回答报文

虚拟专用网VPN与网络地址转换NAT

虚拟专用网VPN

Virtual Private Network 利用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网又称为虚拟专用网当一个组织的多个部门分布在各个地区为了让其专用网络间通信，可以租用电信公司的通信线路，这种方法简单方便但租金高另一种方法就是利用VPN

由于IPv4地址的紧缺，一个机构能够申请到的IPv4地址数量往往远小于本机构所拥有的主机数量。因此，虚拟专用网中的各主机所分配的地址应该是本机构可自由分配的专用地址而不是需要申请的、在因特网上使用的公有地址。因此私有地址只能用于本地网络间的通信不能用于公有网络的通信在因特网中的所有路由器对目的地址是私有地址的IP数据报一律不进行转发。因此，每个私有网络必须至少有一个路由器具有合法的全球IP地址，这样他们各自的专用网才能利用公用的因特网进行通信当私有网络中的一个主机要给另一个私有网络中的主机发送数据，它会将待发送数据封装成内部IP数据报，发送给路由器，其首部中的源地址字段的值为该主机的IP地址，目的地址为目的主机的IP地址。路由器收到数据包后发现必须经过因特网才能到达，就将该内部IP数据报进行加密，这样就确保了内部IP数据报的安全，然后重新添加上数据报的首部，封装成为在因特网上发送的外部数据报，其首部中的源地址为路由器的全球地址，目的地址为目的主机所属路由器的全球地址，目的主机所属路由器收到数据报后去掉其首部，将其数据部分进行解密，恢复出原来的内部IP数据报，这样就可以从其首部提取出源地址和目的地址，根据目的地址发送给内部主机其中两个专用网内的主机间发送的数据报通过了公用的因特网，但在效果上就好像是本机构的专用网上传输一样，数据报在因特网中可能要经过多个网络和路由器，但从逻辑上可两个路由器之间好像是一条直通的点对点链路。因此也被称为IP隧道技术

同一机构内不同部门的内部网络所构成的虚拟专用网VPN又称为内联网VPN 有时一个机构的VPN需要有某些外部机构(通常就是合作伙伴)参加进来。这样的VPN就称为外联网VPN 在外地工作的员工需要访问公司内部的专用网络时，只要在任何地点接入到因特网，运行驻留在员工PC中的VPN软件，在员工的PC和公司的主机之间建立VPN隧道，即可访问专用网络中的资源。这种VPN称为远程接入VPN

网络地址转换NAT

Network Address Translation 虽然因特网采用了无分类编址方式来减缓IPv4地址空间耗尽的速度，但由于因特网用户数目的激增，特别是大量小型办公室网络和家庭网络接入因特网的需求不断增加，IPv4地址空间即将面临耗尽的危险仍然没有被解除。 1994年提出了一种网络地址转换NAT的方法再次缓解了IPv4地址空间即将耗尽的问题NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球地址来访问因特网上的主机和资源。

当私有网络中的主机要给因特网上使用全球IP地址的主机通信时这需要在专用网络连接到因特网的路由器上按照NAT软件，安装NAT软件的路由器也称为NAT路由器，NAT路由器至少有一个全球IP地址当NAT路由器中的主机给使用全球IP地址的主机通信时源主机填自己的本地地址，目的地址填目的主机的地址，发送给NAT路由器后，路由器选出一个全球IP地址借用给源主机并把该全球地址和源主机的本地地址做映射，然后把源主机的IP数据报的源地址修改为其映射的全球IP地址发送给目的主机，目的主机收到后发送的数据报源地址为自己的地址，目的地址为映射的全球地址发送给NAT路由器，路由器收到后把目的地址根据映射表改为接受主机的本地地址。以此来实现通信。但这种转换方法存在一个问题，NAT路由器具有n各全球IP地址那么至多只能有n个内网主机能够同时和因特网上的主机通信同时也存在一个问题：因特网上的主机不能先给私有网络的主机发送数据

由于绝大多数的网络应用都是使用运输层协议TCP或UDP来传送数据，因此可以利用运输层的端口号和IP地址一起进行转换。这样，用一个全球IP地址就可以使多个拥有本地地址的主机同时和因特网上的主机进行通信。这种将端口号和IP地址一起进行转换的技术叫作网络地址与端口号转换NAPT(Network Address and Port Translation)。

对于一些P2P网络应用，需要外网主机主动与内网主机进行通信，在通过NAT时会遇到问题，需要网络应用自己使用一些特殊的NAT穿越技术来解决问题。另外，由于NAT对外网屏蔽了肉网主机的网络地址，能为内网的主机提供一定的安全保护。

贡献者

pinkdopeybug

版权所有

版权归属：PinkDopeyBug

许可证：署名 4.0 国际 (CC-BY-4.0)

5、网络层

公告