# 网络层协议分析

## 网络层协议类型

### TCP/IP体系的网络层协议

- IP/IPv6 互联网协议/互联网协议第6版

- ICMP 互联网控制信息协议/ ICMPv6 互联网控制信息协议第6版

- SLIP 穿行线路IP协议（已被PPP代替）

- AH 认证头协议（安全协议）

- ESP 安全封装有效载荷协议（安全协议）

- IP in IP 移动IP数据封装和隧道

#### 路由协议

- RIP2 路由信息协议 第2版
- OSPF 开放最短路径优先协议
- EIGRP 增强内部网关路由选择协议
- VRRP 虚拟路由器冗余协议

- EGP 外部网关协议
- NHRP 下一跳解析协议
- CGP 网关到网关协议
- RSVP 资源预留协议

- PIM-DM 密集模式独立组播协议
- PIM-SM 稀疏模式独立组播协议
- IGRP 内部网关路由协议
- RIPng for IPv6 IPv6路由信息协议

- PGM 实际通用组播协议
- DVMRP 距离矢量组播路由协议
- MOSPF 组播开放最短路径优先协议
- RPL 远程启动服务

### ISO 类

- ISO 网络协议
  + CONP iso面向连接的网络协议
  + CLNP ISO无连接网络协议
  

### 安全类

- IPSec Internet协议安全性
  - AH 认证头协议
  - ESP 封装安全载荷协议
  - IP Comp IP载荷压缩协议
  - IKE internet 密钥交换协议
  - ISAKMP Internet安全连接和密钥管理协议

- GRE 通用路由封装协议
- DIFF SERV 区分服务体系结构
- IP in IP

### IBM类

- QLLC 限定式逻辑链路控制协议
- Path Control 路径控制协议
- APPN 高级对等网络协议
- HPR 高性能路由选则协议

- DLSw数据链路交换协议
- SSP 转换协议

### IOT

- D7AAdvP
- Zigbee （部分）
- Z-Wave （部分）
- WHART (部分）

### Industrial Control

- CLNP ISO无连接网络协议 
- ES/IS ISO终端系统到中间系统路由协议


## IP 互联网协议（IP）

IPv4（RFC 791）完成了不同局域网的互联。

### IP协议头部

![IP协议头部](images\06\IP头部.jpg)

说明：

- 版本：IP报文版本号 IPV4为4，IPV6为6 
- 首部长度：IP header长度，没有选项，则一般为5（5x32bit＝20B） 
- 8位服务类型：一般没有使用，详细参考RFC 
- 总长度：header＋数据  
- 16位标识：IP 报文的唯一id，分片报文的id 相同，便于进行重组。 
- 3位标志：标明是否分片。

  + 3位标志字段的第一位保留。
  + 第二位（Don’t Fragment，DF）表示“禁止分片”。如果设置了这个位，IP模块将不对数据报进行分片。在这种情况下，如果IP数据报长度超过MTU的话，IP模块将丢弃该数据报并返回一个ICMP差错报文。
  + 第三位（More Fragment，MF）表示“更多分片”。除了数据报的最后一个分片外，其他分片都要把它置1。

- 13位分片偏移（fragmentation offset）：是分片相对原始IP数据报开始处（仅指数据部分）的偏移。

实际的偏移值是该值左移3位（乘8）后得到的。由于这个原因，除了最后一个IP分 片外，每个IP分片的数据部分的长度必须是8的整数倍（这样才能保证后面的IP分片拥有一个合适的偏移值）。

![13位片偏移](images\06\13位片偏移.png)

- TTL：生存时间，即路由器的跳数，每经过一个路由器，该TTL减一。 

TTL 常被用于计算一个数据包的生存周期（从源到目的的时间）。

- 8位协议：ICMP：1，TCP：6，UDP：17，其他的自行百度 
- 首部校验和：IP header校验和，接收端收到报文进行计算如果校验和错误，直接丢弃。 
- 源IP地址：无须解释 
- 目的IP地址：无须解释 
- 选项：这个一般也没有使用。选项是一个非常有意思的部分，它为了后世的开发者提供了这样一种可能：完善IP中之前没有的部分，新添加的功能在IP选项（IP options）中添加。

|选项|描述|
|-|-|
|安全性|标明数据报的安全级别|
|严格源路由|给出数据报遵循的完整路径|
|松散源路由|给出一些不能错过的路由|
|记录路由|要求每个路由器加上自己的IP地址|
|时间戳|要求每个路由器加上自己的IP地址和时间戳|

- 数据：上层的报文，如TCP 报文、UDP报文等。

### IP地址

IP 地址是一个32位的地址，用来唯一标识连接到网络的设备。

由于让人记住一串32位长的01字符较为困难，所以IP地址采用点分四组的表示法。

![ipv4地址](images/06/ipv4地址.png)

#### 分类地址

|分类|前置位|网络地址占有位数|主机地址占用位数|可容纳的网络数量|每个网内可容纳的主机数量|起始地址|结束地址|
|-|-|-|-|-|-|-|-|
|A|0|8|	24|	128|16777216 |	0.0.0.0|	127.255.255.255|
|B	|10|16|16|	16384|	65536 |	128.0.0.0|191.255.255.255|
|C	|110|	24|	8|2097152 |	256 |	192.0.0.0|223.255.255.255|

#### 保留私有地址

|名字|CIDR块|地址范围|地址数量|分类或描述|
|-|-|-|-|-|
|24-bit block|	10.0.0.0/8	|10.0.0.0 – 10.255.255.255|16777216	|单一的A类地址|
|20-bit block|	172.16.0.0/12|	172.16.0.0 – 172.31.255.255	|1048576|邻近的16个B类地址|
|16-bit block|	192.168.0.0/16|	192.168.0.0 – 192.168.255.255	|	65536		|邻近的256个C类地址|

#### 子网掩码

![子网掩码](images/06/子网掩码.png)

**子网掩码的组成：**

- 同IP地址一样，子网掩码是由长度为32位二进制数组成的一个地址。

- 子网掩码32位与IP地址32位相对应，IP地址如果某位是网络地址，则子网掩码为1，否则为0。

- 举个栗子：如：11111111.11111111.11111111.00000000

**子网掩码的表示方法：**

- 点分十进制表示法

二进制转换十进制，每8位用点号隔开

例如：子网掩码二进制11111111.11111111.11111111.00000000，表示为255.255.255.0

- CIDR斜线记法

IP地址/n

例1：192.168.1.100/24，其子网掩码表示为255.255.255.0，二进制表示为11111111.11111111.11111111.00000000

例2：172.16.198.12/20，其子网掩码表示为255.255.240.0，二进制表示为11111111.11111111.11110000.00000000

不难发现，例1中共有24个１，例2中共有20个１，所以n是这么来的。运营商ISP常用这样的方法给客户分配IP地址。

注：n为1到32的数字，表示子网掩码中网络号的长度，通过n的个数确定子网的主机数=2^(32-n)-2。减去2的原因：主机位全为0时表示本网络的网络地址，主机位全为1时表示本网络的广播地址，这是两个特殊地址）。

### 本节实验操作

- 打开样本文件ip_ttl_source.pcap文件，里面有两个数据包。完成下列表格内容：

|分组序号|IP版本号|IP头长度|载荷长度|TTL值|源IP地址|目的IP地址|16位标识|是否分片|协议|头部校验和|选项|
|-|-|-|-|-|-|-|-|-|-|-|-|
|1|
|2|

- 打开ip_frag_source.pcap样本文件，观察第1、2、3个分组，完成以下表格：

|分组序号|IP版本号|IP头长度|载荷长度|TTL值|源IP地址|目的IP地址|16位标识|是否分片|协议|头部校验和|选项|
|-|-|-|-|-|-|-|-|-|-|-|-|
|1|
|2|
|3|

## 互联网控制消息协议（ICMP）

互联网控制消息协议（Internet Control Message Protocol,ICMP)是TCP/IP协议中的一个工具协议，负责提供在TCP/IP网络上设备、服务以及路由器可用性的信息。

大多数网络检修技巧和工具都是基于常用的ICMP消息类型进行的。

有关ICMP的细节在RFC792中定义。

### ICMP的用途

在RFC，将ICMP 大致分成两种功能：差错通知和信息查询。

![ICMP头部](images/06/icmp的用途.png)

### ICMP 头

ICMP 的内容是放在IP 数据包的数据部分里来互相交流的。也就是，从ICMP的报文格式来说，ICMP 是IP 的上层协议。但是，正如RFC 所记载的，ICMP 是分担了IP 的一部分功能。所以，被认为是与IP 同层的协议。看一下RFC 规定的数据包格式和报文内容吧。

ICMP是IP协议的一部分，并基于IP封装来传达消息。 ICMP头相对较小并且根据用途而改变。

如下图所示：
![ICMP头部](images/06/icmp报文格式.png)

用来传送ICMP 报文的IP 数据包上实际上有不少字段。但是实际上与ICMP 协议相关的只有7 个子段。

四个包含在IP首部的字段：
- 协议
- 源IP地址
- 目的IP地址
- 生存时间

三个包含在ICMP数据部分的字段：
- 类型
- 代码
- 选项数据

![ICMP头部](images/06/icmp头部.jpg)

说明：

- 类型（type）：ICMP消息基于RFC规范的类型或分类。

- 代码（code)：ICMP消息基于RFC规范的子类型。

- 校验和（Checksum）：用来保证ICMP头和数据在抵达目的地时的完整性。

- 可变域（Variable）：取决于类型和代码域内容。

### ICMP类型和消息

ICMP数据报的结构取决于它由Type和Code域中的值所定义的用途。

类型将ICMP分类，而code进一步将每个类型细分为子类。

|类型TYPE|代码CODE|用途-描述 Description|查询类Query|差错类Error|
|-|-|-|-|-|
|0|0|Echo Reply——回显应答（Ping应答）|x|&nbsp;|
|3|0|Network Unreachable——网络不可达|&nbsp;|x|
|3|1|Host Unreachable——主机不可达|&nbsp;|x|
|3|2|Protocol Unreachable——协议不可达|&nbsp;|x|
|3|3|Port Unreachable——端口不可达|&nbsp;|x|
|3|4|Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特|&nbsp;|x|
|3|5|Source routing failed——源站选路失败| &nbsp;|x|
|3|6|Destination network unknown——目的网络未知| &nbsp;|x|
|3|7|Destination host unknown——目的主机未知|&nbsp; |x|
|3|8|Source host isolated (obsolete)——源主机被隔离（作废不用）| &nbsp;|x|
|3|9|Destination network administratively prohibited——目的网络被强制禁止|&nbsp; |x|
|3|10|Destination host administratively prohibited——目的主机被强制禁止|&nbsp; |x|
|3|11|Network unreachable for TOS——由于服务类型TOS，网络不可达|&nbsp; |x|
|3|12|Host unreachable for TOS——由于服务类型TOS，主机不可达|&nbsp; |x|
|3|13|Communication administratively prohibited by filtering——由于过滤，通信被强制禁止|&nbsp;|x|
|3|14|Host precedence violation——主机越权|&nbsp; |x|
|3|15|Precedence cutoff in effect——优先中止生效|&nbsp; |x|
|4|0|Source quench——源端被关闭（基本流控制）|&nbsp; |&nbsp;| 
|5|0|Redirect for network——对网络重定向|&nbsp; |&nbsp;| 
|5|1|Redirect for host——对主机重定向|&nbsp; |&nbsp;| 
|5|2|Redirect for TOS and network——对服务类型和网络重定向|&nbsp; |&nbsp;| 
|5|3|Redirect for TOS and host——对服务类型和主机重定向|&nbsp; |&nbsp;| 
|8|0|Echo request——回显请求（Ping请求）|x| &nbsp;|
|9|0|Router advertisement——路由器通告|&nbsp; |&nbsp;| 
|10|0|Route solicitation——路由器请求|&nbsp; |&nbsp;| 
|11|0|TTL equals 0 during transit——传输期间生存时间为0|&nbsp;|x|
|11|1|TTL equals 0 during reassembly——在数据报组装期间生存时间为0|&nbsp; |x|
|12|0|IP header bad (catchall error)——坏的IP首部（包括各种差错）|&nbsp;|x|
|12|1|Required options missing——缺少必需的选项| &nbsp;|x|
|13|0|Timestamp request (obsolete)——时间戳请求（作废不用）|x| &nbsp;|
|14|- |Timestamp reply (obsolete)——时间戳应答（作废不用）| &nbsp;|x| 
|15|0|Information request (obsolete)——信息请求（作废不用）| &nbsp;|x| 
|16|0|Information reply (obsolete)——信息应答（作废不用）| &nbsp;|x| 
|17|0|Address mask request——地址掩码请求| &nbsp;|x| 
|18|0|Address mask reply——地址掩码应答| &nbsp;| &nbsp;|

### 本节实验操作

#### ICMP的ECHO请求与响应

ICMP因为其Ping命令而变得十分出名。ping是检测网络连通性的工具。

ping命令完成的工作就是发送ICMP echo数据包，并接收对方返回的响应。

- 使用wireshark打开样本文件中的icmp_echo.pcap数据包；
- 观察第1、2条分组记录，完成下列表格内容的填写

|分组编号|ICMP Type|ICMP Code|目的IP|源IP|具体含义|
|-|-|-|-|-|-|
|1|
|2|

#### 路由跟踪

路由跟踪用来识别一个设备到另一个设备的网络路径。在一个简单的网络上，这个网络路径可能只经过一个路由器，甚至一个都不经过。但在复杂网络中，数据包可能会经过数十个路由器才会到达最终目的地。此时，确定数据包的从源到目的的实际路径对诊断路由故障有重要意义。

traceroute命名或tracert命令可以实现路由跟踪。

- 使用wireshark工具打开样本icmp_traceroute.pcap文件；
- 这个文件中记录了在主机192.168.100.138上运行下列命令的网络数据流量:

> traceroute 4.2.2.1 (类似于Windows下的tracert 4.2.2.1)

- 按照分组顺序，分析tracert的执行过程并完成以下表格内容

|分组编号|目的IP|源IP|TTL值|ICMP Type|ICMP Code|ICMP信息|
|-|-|-|-|-|-|-|
|1|
|2|
|7|
|8|
|13|
|14|
|19|
|20|
|25|
|26|
|31|
|32|
|37|
|38|
|43|
|44|
|49|
|50|

- 通过上述分析，我们可以清楚的知道从主机192.168.100.138到主机 4.2.2.1 中间需要经过多少个中间结点（路由器）？它们依次是？

## IPv6

IPv6是英文“Internet Protocol Version 6”（互联网协议第6版）的缩写，是互联网工程任务组（IETF）设计的用于替代IPv4的下一代IP协议，其地址数量号称可以为全世界的每一粒沙子编上一个地址。

由于IPv4最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。

2012年6月6日，国际互联网协会举行了世界IPv6启动纪念日，这一天，全球IPv6网络正式启动。多家知名网站，如Google、Facebook和Yahoo等，于当天全球标准时间0点（北京时间8点整）开始永久性支持IPv6访问。

2017年11月26日，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》.

2018年6月，三大运营商联合阿里云宣布，将全面对外提供IPv6服务，并计划在2025年前助推中国互联网真正实现“IPv6 Only”。7月，百度云制定了中国的IPv6改造方案。8月3日，工信部通信司在北京召开IPv6规模部署及专项督查工作全国电视电话会议，中国将分阶段有序推进规模建设IPv6网络，实现下一代互联网在经济社会各领域深度融合。11月，国家下一代互联网产业技术创新战略联盟在北京发布了中国首份IPv6业务用户体验监测报告显示，移动宽带IPv6普及率为6.16%，IPv6覆盖用户数为7017万户，IPv6活跃用户数仅有718万户，与国家规划部署的目标还有较大距离。 

### IPv6头部

下图中每行为32字节

![IPv6格式](images/06/ipv6数据包格式.png)

总体结构上，IPv6数据报格式与IPv4数据报格式是一样的。也是由两个部分组成：

- IP报头
- 数据、或称有效载荷

各字段作用如下：

- 版本（Version）

版本字段用来表示IP数据报使用的是IPv6协议封装，占4位，对应值为6（0110）。

- 通信分类（Traffic Class）

通信分类字段用来标识对应IPv6的通信流类别，或者说是优先级别，占8位，类似于IPv4中的ToS（服务类型）字段。

- 流标签（Flow Label）

流标签字段时IPv6数据报中新增的一个字段，占20位，可用来标记报文的数据流类型，以便在网络层区分不同的报文。流标签字段有源节点分配，通过流标签、源地址、目的地址三元组方式就可以唯一标识一条通信流，而不用像IPv4那样需要使用五元组方式（源地址、目的地址、源端口、目的端口和传输层协议号）。

这样发动的最大好处有两点：一是流标签可以和任意的关联，需要标识不同类型的流（可以是非五元组）时，无需对流标签做改动；二是流标签在IPv6基本头中，使用IPSec时此域对转发路由器可见，因此转发路由器可以在使用IPv6报文IPSec的情况下仍然可以通过三元组（流标签、源地址、目的地址）针对特定的流进行QoS（质量服务）处理。

- 有效载荷长度（PayLoad Length）

有效载荷长度字段是以字节为单位的标识IPv6数据报中有效载荷部分（包括所有扩展报头部分）的总长度，也就是除了IPv6的基本报头以外的其他部分的总长度，占20位。

- 下一个头部（Next Header）

下一个头部字段用来标识当前报头（或者扩展报头）的下一个头部类型，占8位。每种扩展报头都有其对应的值。下一个头部字段内定义的扩展报头类型与IPv4中的协议字段值类似，但在IPv6数据报中，紧接着IPv6报头的可能不是上层协议头部（当没有扩展报头或者为最后一个扩展报头时才是上层协议头），而是IPv6扩展报头。这一机制下处理扩展报头更高效，因为标识了数据报中对应的上层协议或者扩展报头类型，转发路由器只需处理必须处理的扩展报头，提高了转发效率。

- 跳数限制（Hop Limit）

跳数限制于IPv4报文中的TTL字段类似，指定了报文可以有效转发的次数，占8位。报文每经过一个路由器结点，跳数值就减1，当此字段值减到0时，则直接丢弃该报文。

- 源地址（Source IP Address）

源IP地址字段标识了发送该IPv6报文源节点的IPv6地址，占128位。

- 目的IP地址（Destination IP Address）

目的IP地址字段标识了IPv6报文的接受节点的IPv6地址，占128位。

- IPv6扩展报头

IPv6报文中可以携带可选的IPv6扩展报头。

IPv6扩展报头是跟在IPv6基本报头后面的可选报头。由于在IPv4的报头中包含了几乎所有的可选项，因此每个中间路由器都必须检查这些选项是否存在。在IPv6中，这些相关选项被统一移到了扩展报头中，这样中间路由器不必处理每一个可能出现的选项（仅有“逐跳选项”报头是必须要处理的），提高了处理器处理数据报文的速度，也提高了其转发的性能。 

IPv6扩展报头附加在IPv6报头目的IP地址字段后面，可以有0个，或者多个扩展报头。主要的IPv6扩展报头有一下几类：

- 逐跳选项头（Hop-by-hop Options Header）

本扩展报头类型值为0（在IPv6报头下一个头部字段中定义，下同）。此扩展报头须被转发路径所有节点处理。目前在路由告警（RSVP和MLDv1）与Jumbo帧处理中使用了逐跳选项头，因为路由告警需要通知到转发路径中所有结点，而Jumbo帧是长度超过65535字节的报文，传输这种报文需要转发路径中所有结点都能正常处理。

- 目的选项头（Destination Options Header）

本扩展报头类型值为60。只可能出现在两个位置： 
1.路由头前，这是此选项头被目的节点和路由头中指定的结点处理； 
2.上层头前（任何的ESP头后），此时只能被目的结点处理。 

移动IPv6中使用了目的选项头，称为家乡地址选项。

家乡地址选项由目的选项头携带，用以移动结点离开“家乡”后通知接受节点此移动结点对应的家乡地址。接受节点收到带有家乡地址选项的报文后，会把家乡地址选项中的源地址（移动节点的家乡地址）和报文中源地址（移动节点的转交地址）交换，这样上层协议始终认为是在和移动节点的家乡地址通信，实现了移动漫游功能。

- 路由头（Routing Header）

本扩展报头类型值为43，用于源路由选项和移动IPv6。

- 分段头

本扩展报头类型值为44，用于标识数据报的分段，在IPv4中就有对应的字段。当源节点发送的报文超过传输链路MTU（源节点和目的节点之间传输路径的MTU）时，需要对报文进行分段时使用。

- 认证头

本扩展报头类型值为51，用于IPSec，提供报文验证，完整性检查。

- 封装安全有效载荷头

本扩展头类型值为50，用于IPSec，提供报文验证、完整性检查差和加密。

- 上层头

这是用来标识数据报中上层协议类型，如TCP、UDP、ICMP等。

注意：目的选项头最多出现两次，一次在路由头前，一次在上层协议头前，其他选项头最多只能出现一次。IPv6节点必须能够处理选项头（逐跳选项头除外，它固定只能紧随基本报头之后）在任意位置出现，以保证互通性。

总结

对比IPv4数据报头部格式可以看出，IPv6去除了IPv4报头中的头部长度、标识、标志、段偏移、校验和、选项、填充这么多字段，却只增加了流标签这一个字段，因此IPv6报头处理和IPv4报头处理相比大大简化，提高了处理效率。另外，IPv6为了更好地支持各种选项处理，提出了扩展头的概念，新增选项时不必修改现有的结构就能做到，理论上可以无限扩展，体现了优异的灵活性。




### IPv6地址

IPv4地址32位二进制；IPv6的地址长度为128位，是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用，采用十六进制表示。


有3种表示方法。

- 冒分十六进制表示法

格式为X:X:X:X:X:X:X:X，其中每个X表示地址中的16b，以十六进制表示，例如：
ABCD:EF01:2345:6789:ABCD:EF01:2345:6789
这种表示法中，每个X的前导0是可以省略的，例如：
2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A

- 0位压缩表示法
  
在某些情况下，一个IPv6地址中间可能包含很长的一段0，可以把连续的一段0压缩为“::”。但为保证地址解析的唯一性，地址中”::”只能出现一次，例如：
　　FF01:0:0:0:0:0:0:1101 → FF01::1101
　　0:0:0:0:0:0:0:1 → ::1
　　0:0:0:0:0:0:0:0 → ::

- 内嵌IPv4地址表示法

为了实现IPv4-IPv6互通，IPv4地址会嵌入IPv6地址中，此时地址常表示为：X:X:X:X:X:X:d.d.d.d，前96b采用冒分十六进制表示，而最后32b地址则使用IPv4的点分十进制表示，例如::192.168.0.1与::FFFF:192.168.0.1就是两个典型的例子，注意在前96b中，压缩0位的方法依旧适用。

### 本节实验操作

- 打开样本文件ipv6_fragments.pcap
- 利用会话统计图分析该样本中存在哪些端点间的会话，完成下表内容：

|会话序号|端点1（以IPv6地址给出）|端点2（以IPv6地址给出）|通信字节数|
|-|-|-|-|
|1|
|2|



## ICMPv6

从协议本身来说，ICMPv6和基于IPv4的ICMP协议发生了很大的变化，是两个不同的协议，所以为了区分两者，基于IPv6的ICMP协议我们用ICMPv6来命名，协议识别号58。而ICMP一般指代传统的IPv4下的协议。

ICMPv6和ICMP一样，ICMPv6仍然是用于传递错误信息和网络故障诊断的。

![icmpv6头](images/06/icmpv6报文.png)

### ICMPv6 类型

ICMPv6,类型从0到127都是差错报文，从128到255都是信息类报文。

![icmpv6类型](images/06/icmpv6类型1.png)
![icmpv6类型4-134](images/06/icmpv6类型4-134.png)
![ICMPV6类型135-149](images/06/ICMPV6类型135-149.png)
![ICMPV6类型151-255](images/06/ICMPV6类型151-255.png)



### 使用ICMPv6的IPv6邻居发现协议

邻居发现协议NDP（Neighbor Discovery Protocol）是IPv6协议体系中一个重要的基础协议。邻居发现协议替代了IPv4的ARP（Address Resolution Protocol）和ICMP路由器发现（Router Discovery），它定义了使用ICMPv6报文实现地址解析，跟踪邻居状态，重复地址检测，路由器发现以及重定向等功能。

#### 地址解析功能

在IPv4中，当主机需要和目标主机通信时，必须先通过ARP协议获得目的主机的链路层地址。在IPv6中，同样需要从IP地址解析到链路层地址的功能。邻居发现协议实现了这个功能。

ND本身基于ICMPv6实现，以太网协议类型为0x86DD，即IPv6报文，IPv6下一个报头字段值为58，表示ICMPv6报文，由于ND协议使用的所有报文均封装在ICMPv6报文中，一般来说，ND被看作第3层的协议。在三层完成地址解析，主要带来以下几个好处：

- 地址解析在三层完成，不同的二层介质可以采用相同的地址解析协议。

- 可以使用三层的安全机制避免地址解析攻击。

- 使用组播方式发送请求报文，减少了二层网络的性能压力。

- 地址解析过程中使用了两种ICMPv6报文：邻居请求报文NS（Neighbor Solicitation）和邻居通告报文NA（Neighbor Advertisement）。

  + NS报文：Type字段值为135，Code字段值为0，在地址解析中的作用类似于IPv4中的ARP请求报文。

  + NA报文：Type字段值为136，Code字段值为0，在地址解析中的作用类似于IPv4中的ARP应答报文。


下图是地址解析过程的图示：

![icmpv6地址解析过程](images/06/icmpv6地址解析过程.png)

过程解释：

NS报文：Host A在向Host B发送报文之前它必须要解析出Host B的链路层地址，所以首先Host A会发送一个NS报文，其中源地址为Host A的IPv6地址，目的地址为Host B的被请求节点组播地址，需要解析的目标IP为Host B的IPv6地址，这就表示Host A想要知道Host B的链路层地址。同时需要指出的是，在NS报文的Options字段中还携带了Host A的链路层地址。

NA报文：当Host B接收到了NS报文之后，就会回应NA报文，其中源地址为Host B的IPv6地址，目的地址为Host A的IPv6地址（使用NS报文中的Host A的链路层地址进行单播），Host B的链路层地址被放在Options字段中。这样就完成了一个地址解析的过程。

#### 跟踪邻居状态功能

通过邻居或到达邻居的通信，会因各种原因而中断，包括硬件故障、接口卡的热插入等。因此节点需要维护一张邻居表，每个邻居都有相应的状态，状态之间可以迁移。

RFC2461中定义了5种邻居状态，分别是：

- 未完成（Incomplete）
- 可达（Reachable）
- 陈旧（Stale）
- 延迟（Delay）
- 探查（Probe）

![邻居状态迁移的具体过程](images/06/邻居状态迁移的具体过程.png)

举例说明：

下面以A、B两个邻居节点之间相互通信过程中A节点的邻居状态变化为例（假设A、B之前从未通信），说明邻居状态迁移的过程。

1.A先发送NS报文，并生成缓存条目，此时，邻居状态为Incomplete。

2.若B回复NA报文，则邻居状态由Incomplete变为Reachable，否则固定时间后邻居状态由Incomplete变为Empty，即删除表项。

3.经过邻居可达时间，邻居状态由Reachable（默认30s）变为Stale，即未知是否可达。

4.如果在Reachable状态，A收到B的非请求NA报文（MAC地址修改），且报文中携带的B的链路层地址和表项中不同，则邻居状态马上变为Stale。

5.在Stale状态若A要向B发送数据，则邻居状态由Stale变为Delay，并发送NS请求。

6.在经过一段固定时间后，邻居状态由Delay（默认5s）变为Probe（每隔1s发送一次NS报文，连续发送3次），其间若有NA应答，则邻居状态由Delay变为Reachable。

7.在Probe状态，A每隔一定时间间隔z(1s)发送单播NS，发送固定次数(3)后，有应答则邻居状态变为Reachable，否则邻居状态变为Empty，即删除表项。


#### 重复地址检测功能

重复地址检测DAD（Duplicate Address Detect）是在接口使用某个IPv6单播地址之前进行的，主要是为了探测是否有其它的节点使用了该地址。

当采用地址自动配置的时候，进行DAD检测是很必要的。

一个IPv6单播地址在分配给一个接口之后且通过重复地址检测之前，称为试验地址（Tentative Address）。

此时该接口不能使用这个试验地址进行单播通信，但是仍然会加入两个组播组：ALL-NODES组播组和试验地址所对应的Solicited-Node组播组。

IPv6重复地址检测技术和IPv4中的免费ARP类似：

- 节点向试验地址所对应的Solicited-Node组播组发送NS报文。NS报文中目标地址即为该试验地址。

- 如果收到某个其他站点回应的NA报文，就证明该地址已被网络上使用，节点将不能使用该试验地址通讯。


![icmpv6重复地址检测原理](images/06/icmpv6重复地址检测原理.png)

具体过程如下：

1.Host A的IPv6地址FC00::1为新配置地址，即FC00::1为Host A的试验地址。Host A向FC00::1的Solicited-Node组播组发送一个以FC00::1为请求的目标地址的NS报文进行重复地址检测，由于FC00::1并未正式指定，所以NS报文的源地址为未指定地址。

2.当Host B收到该NS报文后，有两种处理方法：

（1）如果Host B发现FC00::1是自身的一个试验地址，则Host B放弃使用这个地址作为接口地址，并且不会发送NA报文。

（2）如果Host B发现FC00::1是一个已经正常使用的地址，Host B会向FF02::1发送一个NA报文，该消息中会包含FC00::1。这样，Host A收到这个消息后就会发现自身的试验地址是重复的。Host A上该试验地址不生效，被标识为duplicated状态。

3.若两端同时发起检测：

若2个节点配置相同地址，同时作重复地址检测时，该地址处于Tentative状态，当一方收到对方发出的DAD NS，则接收方将不启用该地址；

4.一种极端的情况，如果同时收到NS报文，则两端都放弃改地址。

#### 路由器发现功能

路由器发现功能用来发现与本地链路相连的设备，并获取与地址自动配置相关的前缀和其他配置参数。

在IPv6中，IPv6地址可以支持无状态的自动配置，即主机通过某种机制获取网络前缀信息，然后主机自己生成地址的接口标识部分。

路由器发现功能是IPv6地址自动配置功能的基础，主要通过以下两种报文实现：

- 路由器通告RA（Router Advertisement）报文

每台设备为了让二层网络上的主机和设备知道自己的存在，定时都会组播发送RA报文，RA报文中会带有网络前缀信息，及其他一些标志位信息。RA报文的Type字段值为134。

- 路由器请求RS（Router Solicitation）报文

很多情况下主机接入网络后希望尽快获取网络前缀进行通信，此时主机可以立刻发送RS报文，网络上的设备将回应RA报文。RS报文的Tpye字段值为133。

![icmpv6路由发现功能](images/06/icmpv6路由发现功能.png)

### 本节实验操作

- 打开样本文件icmpv6_neighbor_solicitation.pcap.
- 完成以下表格

|分组编号|源ip|目的ip|ICMP类型码|含义描述|
|-|-|-|-|-|
|1|
|2|
|3|
|4|
|5|
|6|
|7|