【文章內容簡介】 ke（ ）向 發(fā)送 PING 請求數(shù)據(jù)包； 向 回復 PING 回復數(shù)據(jù)包； Fake（ ）再次向 發(fā)送 PING 請求數(shù)據(jù)包； 再次向 回復 PING 回復數(shù)據(jù)包； 這一切看起來沒有任何問題？那為什么 Fake 的 Ping 會超時呢？ 這一切從表明上看是沒有任何問題，但是仔細看捕獲的數(shù)據(jù)包的以太網頭部，你就會發(fā)現(xiàn)問題所在： 首先，我們看第三個數(shù)據(jù)包， Fake（ ）向 發(fā)送的 Ping 請求，如下圖所示， Fake 以自己的 MAC 地址為源 MAC 地址、 的 MAC 地址（ 00:03:47:F4:FC:E7）為目的 MAC 地址發(fā)送數(shù)據(jù)包，這沒有任何問題。 那么看看第四個 ISA Server 回復的 Ping 回復數(shù)據(jù)包呢，源 MAC 地址是 ISA Server 的 MAC地址（ 00:03:47:F4:FC:E7），這也沒有問題，但是注意看目的 MAC 地址， 00:0D:60:C3:05:34是離線的客戶機 True 的 MAC 地址。還記得我們在 ISA Server 上做的 IP 地址（ ）和 MAC 地址綁定嗎？ ISA Server 直接使用自己 ARP 緩存中的靜態(tài)綁定項來發(fā)送數(shù)據(jù)，而不是使用收到的 Ping 請求數(shù)據(jù)包 中的源 MAC 地址來作為目的地址。 因此， Fake 認為此數(shù)據(jù)包不是發(fā)給自己的，不會處理此數(shù)據(jù)包，所以認為沒有 Ping 回復數(shù)據(jù)包，自然就是超時了。 最后說一下， 我不推薦大家使用靜態(tài) IP 地址和 MAC 地址的綁定，這會帶來更多的管理負荷。你可以利用ISA Server 強大的身份驗證功能，結合 IP 地址來進行管理，這樣具有更好的效果。 ARP 的高速緩存、分組格式和代理 本章我們要討論的問題是只對 TCP/IP 協(xié)議簇有意義的 IP 地址。數(shù)據(jù)鏈路如以太網或令牌環(huán)網都有自己的尋址機制（常常為 48 bit 地址） ，這是使用數(shù)據(jù)鏈路的任何網絡層都必須遵從的。一個網絡如以太網可以同時被不同的網絡層使用。 例如，一組使用 TCP/IP 協(xié)議的主機和另一組使用某種 P C 網絡軟件的主機可以共享相同的電纜。 當一臺主機把以太網數(shù)據(jù)幀發(fā)送到位于同一局域網上的另一臺主機時，是根據(jù) 48 bit 的以太網地址來確定目的接口的。設備驅動程序從不檢查 IP 數(shù)據(jù)報中的目的 IP 地址。 地址解析為這兩種不同的地址形式提供映射： 32 bit 的 IP 地址和數(shù)據(jù)鏈路層使用的任何類型的地址。 RFC 826 [Plummer1982]是 ARP 規(guī)范 描述文檔。 本章及下一章我們要討論的兩種協(xié)議如圖 41 所示： ARP（地址解析協(xié)議）和 RARP（逆地址解析協(xié)議）。 ARP 為 IP 地址到對應的硬件地址之間提供動態(tài)映射。我們之所以用動態(tài)這個詞是因為這個過程是自動完成的，一般應用程序用戶或系統(tǒng)管理員不必關心。 RARP 是被那些沒有磁盤驅動器的系 統(tǒng)使用（一般是無盤工作站或 X 終端），它需要系統(tǒng)管理員進行手工設置。我們在第 5 章對它進行討論。 任何時候我們敲入下面這個形式的命令： % ftp bsdi 都會進行以下這些步驟。這些步驟的序號如圖 42 所示。 1) 應用程序 FTP 客戶端調用函數(shù) gethostbyname(3)把主機 名（ bsdi）轉換成 32 bit 的 IP 地址。這個函數(shù)在 DNS（域名系統(tǒng)）中稱作解析器，我們將在第 14 章對它進行介紹。這個轉換過程或者使用 DNS，或者在較小網絡中使用一個靜態(tài)的主機文件（ /etc/hosts）。 2) FTP 客戶端請求 TCP 用得到的 IP 地址建立連接。 3) TCP 發(fā)送一個連接請求分段到遠端的主機，即用上述 IP 地址發(fā)送一份 IP 數(shù)據(jù)報（在第18 章我們將討論完成這個過程的細節(jié)）。 4) 如果目的主機在本地網絡上（如以太網、令牌環(huán)網或點對點鏈接的另一端），那么 IP數(shù)據(jù)報可以直接 送到目的主機上。如果目的主機在一個遠程網絡上，那么就通過 IP 選路函數(shù)來確定位于本地網絡上的下一站路由器地址，并讓它轉發(fā) IP 數(shù)據(jù)報。在這兩種情況下， IP 數(shù)據(jù)報都是被送到位于本地網絡上的一臺主機或路由器。 5) 假定是一個以太網，那么發(fā)送端主機必須把 32 bit的 IP地址變換成 48 bit的以太網地址。從邏輯 Inter 地址到對應的物理硬件地址需要進行翻譯。這就是 ARP 的功能。 ARP 本來是用于廣播網絡的，有許多主機或路由器連在同一個網絡上。 6) ARP 發(fā)送一份稱作 ARP 請求的以太網數(shù)據(jù)幀給 以太網上的每個主機。這個過程稱作廣播，如圖 4 2 中的虛線所示。 ARP 請求數(shù)據(jù)幀中包含目的主機的 IP 地址（主機名為 bsdi），其意思是 ―如果你是這個 IP 地址的擁有者，請回答你的硬件地址。 ‖ 7) 目的主機的 ARP 層收到這份廣播報文后，識別出這是發(fā)送端在尋問它的 IP 地址，于是發(fā)送一個 ARP 應答。這個 ARP 應答包含 IP 地址及對應的硬件地址。 8) 收到 ARP 應答后，使 ARP 進行請求 —應答交換的 IP 數(shù)據(jù)報現(xiàn)在就可以傳送了。 9) 發(fā)送 IP 數(shù)據(jù)報到目的主機。 在 ARP 背后有一個基本 概念，那就是網絡接口有一個硬件地址（一個 48 bit 的值，標識不同的以太網或令牌環(huán)網絡接口）。在硬件層次上進行的數(shù)據(jù)幀交換必須有正確的接口地址。但是， TCP/IP 有自己的地址： 32 bit 的 IP 地址。知道主機的 IP 地址并不能讓內核發(fā)送一幀數(shù)據(jù)給主機。內核（如以太網驅動程序）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。 ARP 的功能是在 32 bit 的 IP 地址和采用不同網絡技術的硬件地址之間提供動態(tài)映射。 點對點鏈路不使用 ARP。當設置這些鏈路時（一般在引導過程進行），必須告知內核鏈路每一端的 IP 地址。像以太 網地址這樣的硬件地址并不涉及。 ARP 高速緩存 ARP 高效運行的關鍵是由于每個主機上都有一個 ARP 高速緩存。這個高速緩存存放了最近Inter 地址到硬件地址之間的映射記錄。高速緩存中每一項的生存時間一般為 2 0 分鐘，起始時間從被創(chuàng)建時開始算起。 我們可以用 ARP(8)命令來檢查 ARP 高速緩存。參數(shù) a 的意思是顯示高速緩存中所有的內容。 bsdi % arp a sun () at 8:0:20:3:f6:42 svr4 () at 0:0:c0:c2:9b:26 48 bit 的以太網地址用 6 個十六進制的數(shù)來表示，中間以冒號隔開。在 小節(jié)我們將討論ARP 命令的其他功能。 ARP 的分組格式 在以太網上解析 IP 地址時， ARP 請求和應答分組的格式如圖 43 所示（ ARP 可以用于其他類型的網絡，可以解析 IP 地址以外的地址。緊跟著幀類型字段的前四個字段指定了最后四個字段的類型和長度）。 (點擊查看原圖 ) 以太網報頭中的前兩個字段是以太網的源地址和目的地址。目的地址為全 1 的特殊地址是廣播地址。電纜上的所有以太網接口都要接收廣播的數(shù)據(jù)幀。 兩個字節(jié)長的以太網幀類型表示后面數(shù)據(jù)的類型。對于 ARP 請求或應答來說，該字段的值為 0x0806。 形容詞 hardware (硬件 )和 protocol (協(xié)議 )用來描述 ARP 分組中的各個字段。例如，一個 ARP請求分組詢問協(xié)議地址（這里是 IP 地址）對應的硬件地址（這里是以太網地址）。 硬件類型字段表示硬件地址的類型。它的值為 1 即表示以太網地址。協(xié)議類型字段表示要映射的協(xié)議地址類型。它的值為 0x0800 即表示 IP 地址。它的值與包含 IP 數(shù)據(jù)報的以太網數(shù)據(jù)幀中的類型字段的值相同，這是有意設計的（參見圖 21）。 接下來的兩個 1 字節(jié)的字段，硬件地址長度和協(xié)議地址長度分別指出硬件地址和協(xié)議地址的長度，以字節(jié)為單位。對于以太網上 IP 地址的 ARP 請求或應答來說，它們的值分別為 6和 4。 操作字段指出四種操作類型，它們是 ARP 請求（值為 1）、 ARP 應答（值為 2）、 R ARP請求（值為 3）和 R ARP 應答（值為 4）（我們在第 5 章討論 R ARP）。這個字段必需的，因為 ARP 請求和 ARP 應答的幀類型字段值是相同的。 接下來的四個字段是發(fā)送端的硬件地址（在本例中是以太網地址）、發(fā)送端的協(xié)議地址（ IP地址）、目的端的硬件地址和目的端的協(xié)議地址。注意，這里有一些重復信息：在以太網的數(shù)據(jù)幀報頭中和 ARP 請求數(shù)據(jù)幀中都有發(fā)送端的硬件地址。 對于一個 ARP 請求來說，除目的端硬件地址外的所有其他的字段都有填充值。當系統(tǒng)收到一份目的端為本機的 ARP 請求報文后，它就把硬件地址填進去，然后用兩個目的端地址分別替換兩個發(fā)送端地址，并把操作字段置為 2，最后把它發(fā)送回去。 ARP 舉例 在本小節(jié)中，我們用 TCPdump命令來看一看運行像 Tel這樣的普通 TCP工具軟件時 ARP會做些什么。附錄 A 包含 TCPdump 命令的其他細節(jié)。 一般的例子 為了看清楚 ARP 的運作過程，我們執(zhí)行 tel 命令與無效的服務器連接。 bsdi % arp a 檢驗 ARP 高速緩存是空的 bsdi % tel svr4 discard 連接無效的服務器 Trying ... Coned to svr4. Escape character is 39。^]39。. ^] 鍵入 Ctrl 和右括號，使 Tel 回到提示符并關閉 tel quit Connection closed. 圖 4 4 中的 TCP dump 的原始輸出如附錄 A 中的圖 A3 所示。由于這是本書第一個 TCP dump 輸出例子，你應該去查看附錄中的原始輸出，看看我們作了 哪些修改。 (點擊查看原圖 ) 我們刪除了 TCP dump 命令輸出的最后四行，因為它們是結束連接的信息（我們將在第 1 8章進行討論），與這里討論的內容不相關。 在第 1 行中，源端主機（ bsdi）的硬件地址是 0:0:c0:6f:2d:40。目的端主機的硬件地址是ff:ff:ff:ff:ff:ff，這是 一個以太網廣播地址。電纜上的每個以太網接口都要接收這個數(shù)據(jù)幀并對它進行處理，如圖 42 所示。 第 1 行中緊接著的一個輸出字段是 ARP，表明幀類型字段的值是 0x0806，說明此數(shù)據(jù)幀是一個 ARP 請求或回答。 在每行中，單詞 ARP 或 IP 后面的值 60 指的是以太網數(shù)據(jù)幀的長度。由于 ARP 請求或回答的數(shù)據(jù)幀長都是 42 字節(jié)（ 28 字節(jié)的 ARP 數(shù)據(jù)， 14 字節(jié)的以太網幀頭），因此，每一幀都必須加入填充字符以達到以太網的最小長度要求： 60 字節(jié)。 請參見圖 17，這個最小長度 60 字節(jié)包含 14 字節(jié)的以太網幀頭 ，但是不包括 4 個字節(jié)的以太網幀尾。有一些書把最小長度定為 64 字節(jié)，它包括以太網的幀尾。我們在圖 17 中把最小長度定為 46 字節(jié)，是有意不包括 14 字節(jié)的幀首部，因為對應的最大長度（ 1500 字節(jié)）指的是 MTU—最大傳輸單元（見圖 25）。我們使用 MTU經常是因為它對 IP 數(shù)據(jù)報的長度進行限制，但一般與最小長度無關。大多數(shù)的設備驅動程序或接口卡自動地用填充字符把以太網數(shù)據(jù)幀充滿到最小長度。第 3， 4 和 5 行中的 IP 數(shù)據(jù)報（包含 TCP 段）的長度都比最小長度短，因此都必須填充到 60 字節(jié)。 第 1 行中的下一個輸出字段 arp whohas 表示作為 ARP 請求的這個數(shù)據(jù)幀中，目的 IP 地址是 svr4 的地址，發(fā)送端的 IP 地址是 bsdi 的地址。 TCP dump 打印出主機名對應的默認 IP 地址（在 節(jié)中，我們將用 n 選項來查看 ARP 請求中真正的 IP 地址。） 從第 2 行中可以看到，盡管 ARP 請求是廣播的，但是 ARP 應答的目的地址卻是 bsdi （ 0:0:c0:6f:2d:40）。 ARP 應答是直接送到請求端主機的，而是廣播的。 TCP dump 打印出 arp reply 的字樣，同時打印出響應者的主機名和硬件地址。 第 3 行是第一個請求建立連接的 TCP 段。它的目的硬件地址是目的主機 (svr4)。 在每一行中，行號后面的數(shù)字表示 TCP dump 收到分組的時間（以秒為單位）。除第 1行外，其他每行在括號中還包含了與上一行的時間差異（以秒為單位）。從這個圖可以看出，發(fā)送 ARP 請求與收到 ARP 回答之間的延時是 ms。而在 ms 之后發(fā)出第一段 TCP 報文。在本例中，用 ARP 進行動態(tài)地址解析的時間小于 3ms。 最后需要指出的一點，在 TCP dump 命令輸出中，我們沒有看到 svr4 在發(fā)出第一段 TCP 報文（第 4 行）之前發(fā)出的 ARP 請求。這是因為可能