# 链路层协议分析

在利用网络数据包分析发现异常之前，必须首先建立对正常网络流量的认识。

本章将介绍数据链路层网络协议流量。

数据链路层，用于完成物理寻址，并将原始比特流转变为逻辑传输线路。

在IEEE 802 局域网和城域网标准中，数据链路层被分为媒体访问子层（MAC）和逻辑链路子层（logical link control，LLC）两个子层。

- LLC为逻辑控制（例如：EtherType，802.1Q VLAN 标记等）提供流控和复用。
- MAC为传输媒介提供流控和复用。

## 链路层网络协议

为了解决各种链路层传输问题，不同的研究机构开发了各式各样的链路层协议：

- 局域网链路层
  + 虚拟局域网
    - 虚拟局域网协议 VLAN 802.1Q
    - 交换机间链路协议 ISL
    - 中继协议VTP VLAN
    - 交换机间动态链路协议 DISL
    - 注册协议 GVRP/GVRP VLAN
  + 生成树
    - 快速生成树协议 RSTP
    - 多生成树协议 MST
    - 增强的按VLAN生成树 PVST +
    - 生成树协议 STP
  + 以太网(属于LLC-802.2逻辑链路控制-类型1：无连接服务)
    - 千兆以太网 IEEE802.3z
    - 媒体访问控制 IEEE 802.3 CSMA/CD 
    - 万兆以太网IEEE 802.3ae 
  + 无线网
    - 无线局域网 IEEE 802.11(属于LLC-802.2逻辑链路控制-类型1：无连接服务)
  + 需求有线网 IEEE 802.12(属于LLC-802.2逻辑链路控制-类型1：无连接服务)
  + 令牌环媒体访问呢控制 IEEE802.5(属于LLC-802.2逻辑链路控制-类型2：面向连接服务)
  + 分布式数据接口FDDI媒体访问控制协议(属于LLC-802.2逻辑链路控制-类型3：带确认的面向连接服务)
  + IEEE 802.6城域网媒体访问控制(属于LLC-802.2逻辑链路控制-类型3：带确认的面向连接服务)
  + SNAP子网访问协议
  + HDLC 高级数据链路控制协议
  + LAPB 平衡链路访问过程协议
  + MPLS多协议标签交换协议
  + XTP压缩传输协议
  + DCAP数据转接客户访问协议
  + SLE串行连接封装协议
  + 隧道协议
    + 点对点隧道协议PPTP
    + 第二层转发协议L2F
    + 第二层隧道协议L2TP
    + 接入隧道管理协议ATMP
  + cisco专用协议
    + CDP思科发现协议
    + CGMP思科组管理协议
  + 地址解析协议
    + ARP 地址解析协议
    + RARP 逆向地址解析协议
    

- 广域网链路层
  + ATM异步传输模型
  + SMDS接口协议
  + SMDS交换多兆位数据服务  
  + ISDN综合业务数字网（含144kbps的ISDN-BRI和2.048Mbps的ISDN-PRI）
  + 帧中继（Frame Relay）
  + 点对点协议 PPP(Point to Point Protocol)
  + PSTN
  + v.35
  + HDLC 高级数据链路控制协议
  + LAPB 平衡链路访问过程协议
  + SDLC
  + ...
  
- 工业控制
  - 串行链路协议MODBUS
  - 高级数据链路控制协议HDLC
  - 控制器局域网总线协议CAN
  - PROFIBUS现场总线数据链路FDL
  
- 安全传输
  - 二层隧道协议L2TP（FR)
  - 点对点隧道PPTP
  - 二层转发协议L2F
- IOT
  - 6LoWPAN

我们介绍以下几个常见的链路层协议

- 以太网协议
- ARP协议
- VLAN(802.1q)协议

## 以太网协议解析

以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在局域网中采用的电缆类型和信号处理方法。

以太网协议是一个规定数据链路层及物理层的协议。我们下面只分析链路层的以太网帧。

以太网帧是以太网链路层协议对网络层交付的数据包进行的封装。帧是以太网中通信的基本单元。

常见的以太网帧包括四种：

### Ethernet II

EthernetII由DEC，Intel和Xerox在1982年公布其标准，Etherent II主要更改了EthernetI的电气特性和物理接口，在帧格式上并无变化。

Etherent II采用CSMA/CD的媒体接入和广播机制。

![EthernetII帧](images/05/EthernetII帧.png)

每个字段的详细解释如下： 

- 目标地址：此数据包的目标MAC地址，长度是 48 位，6 个字节。。 
- 源地址：此数据包的源MAC地址，长度是 48 位，6 个字节。。 
- 协议类型：上层协议，表示网络层使用的协议，两个字节。 

说明：

- 目的地址与源地址这里都指的是 MAC 地址。长度是 48 位，6 个字节。

- 在中间，有一个两个字节的类型标识。这个类型字段有三种值，分别是： 
  + 类型码为 0800 ：指载荷为IP数据包；
  
  ![帧载荷为IP](images\05\帧载荷为IP.png)
  
  + 类型码为 0806  ：指载荷为ARP的请求或应答，它将 IP 地址转换为 MAC 地址；
  
  ![帧载荷为ARP请求或响应](images\05\帧载荷为ARP请求或响应.png)
  
  + 类型码为 0835  ：指载荷为RARP的请求或应答，它将MAC 地址转换为 IP 地址。
  
  ![帧载荷为RARP请求或响应](images\05\帧载荷为RARP请求或响应.png)
  
  + 我们发现 ARP 协议与 RARP 协议它们的实际数据只有 28 个字节，于是在它的报文后进行补位，其中 PAD 就是用来填充的，使 ARP / RARP 协议的长度达到 MTU 的最小字节数。
  
- 数据：高层协议、数据和填充符，范围在46～1500字节。 

- FCS：数据帧校验序列，用于确定数据包在传输过程中是否损坏，是CRC 校验码,4 字节，来校验数据是否异常。

### Novell Ethernet（IEEE 802.3 Ethernet Raw ）

由Novell公司推出。将EthernetII的类型字段改为长度域，后面接着0xFFFF，用于标识是Novell Ether类型帧Frame。

![novelethernet帧](images/05/novelethernet帧.png)

每个字段的详细解释如下： 

- 目标地址：此数据包的目标mac地址； 
- 源地址：此数据包的源mac地址； 
- 长度：帧包含的数据量必须小于或等于1500（16进制的05DC）； 
- 标识：2字节的0xFF，标识这个帧是Novell Ether类帧
- 数据：44-1498字节高层协议、数据和填充符； 
- CRC：4字节，循环冗余校验

### IEEE 802.2、802.3

Ethernet802.3的帧头和Ethernet II的帧头不同，它把Ethernet II类型变成了长度域。

IEEE 802.2也被称为LLC,802.3的帧头后面添加了一个LLC首部。

LLC头包含目的服务访问点（DSAP）、源服务访问点（SSAP）和控制（Control）字段。


![Ethernet8023帧](images/05/Ethernet8023帧.png)

每个字段的详细解释如下： 

- 目标地址：6字节，此数据包的目标mac地址； 
- 源地址：6字节，此数据包的源mac地址； 
- 长度：2字节，帧包含的数据量必须小于或等于1500（16进制的05DC）； 
- DSAP：1字节，目标服务存取点（Destination Service Access Point）； 
- SSAP：1字节，源服务存取点（Source Service Access Point）； 
- 控制：1字节，无连接或面向连接的LLC； 
- 数据：43-1497字节，高层协议、数据和填充符； 
- FCS：4字节，数据帧校验序列，用于确定数据包在传输过程中是否损坏。

### Ethernet SNAP

这种帧与802.2、802.3帧的最大区别是增加了一个5字节的SNAP ID，其中前3个字节通常与源mac地址的前三个字节相同，为厂商代码。有时也可设为0。

后2字节与Ethernet II的类型域相同。

![EthernetSNAP帧](images/05/EthernetSNAP帧.png)


### 帧中数据的长度

- Ethernet II 数据长度是 46-1500 字节，不提供MAC层填充功能；
  + 更适合传输大量数据
  + 不利于传输需要严格控制的数据
  + 最为常见的帧格式
  
- IEEE 802.3 SAP 数据长度 43-1497 字节，提供MAC层填充功能；
  + 交换机之间使用的BPDU采用SAP帧
  
  
- IEEE 802.3 SNAP 数据长度 38 - 1492 字节，提供MAC层填充功能；
  + VLAN trunk协议802.1q和思科的CDP采用snap帧



### MTU

以太网帧中的数据长度必须在46字节到1500字节。

- 对于IP协议的影响

这要求，IP数据包不能超过1480 个字节，而IP 协议的报头信息为 20 字节，所以IP协议载荷数据不能超过1460字节。

如果超过了，那么则对该数据段进行分片，所有被分片的数据的 IP 报头信息当中，它们的 16 位标识都是相同的，并且报头信息中的标志字段中第二位为 0 ，第三位如果为 1 ，代表着报文的结束。

接收端在接收到这里分片数据后，根据 IP 报头信息的 16 为标识信息、三位标志位、13位偏移量信息进行组装。

如果分片后的数据在接收端丢失某一片，那么就组装失败。即使组装失败， IP 层也不负责重新传输的功能。这是传输层所该做的事情。

- 对于 UDP 传输的影响

一旦 UDP 携带的数据超过了 1472 （MTU - IP报头 - UDP报头 = 1500 - 20 - 8），那么在 IP 层就会对该数据分片，一旦分片就意味着增加了 UDP 传输丢包的可能性。 由于 UDP 协议传输本身就不负责可靠性，再加上分片，那么丢包的可能性就大大增加。

- 对 TCP 传输的影响

TCP 协议在传输时也收到 MTU 的影响。一个 TCP 数据报的最大长度为 MSS 。MSS 处于 TCP 报头信息选项中。在 TCP 进行链接的时候，双方在发送 SYN 与 SYN + ACK 时就会在选项内对 MSS 进行设置。在双方都得到对方的 MSS 时，选择较小的 MSS 的值作为最终的 MSS 。

再说明白点，MSS 的大小其实就是应用层给传输层的交付的数据的大小。不包括传输层的报头信息。所以在计算 MSS 的时候，用 MTU 减去网络层报头长度以及传输层报头长度即可。

![mtu与mss](images\05\mtu与mss.png)

### 本节实验具体操作

- 打开样本库中的http_google.pcap样本文件
- 使用显示过滤器，显示http协议类型数据
- 查看其中的以太网帧封装数据，结合本节课知识，完成以下表格：

|序号|目的（Destination）|源（Source）|载荷类型|帧长度（Bytes）|CRC校验码|
|-|-|-|-|-|-|
|1| | | | | |
|2| | | | | |

- 如果你没有看到CRC校验码，思考一下它去哪儿了？


- 打开样本文件4style_ethernet.pcapng文件
- 从文件中找到第77个分组（数据包记录），它是何种类型的以太网帧，按照上文中的字段解析，进行分析：
  + 这个分组的源MAC地址是？
  + 这个分组的目的MAC地址是？
  + 这个帧的载荷为何种类型？
  + 这个帧中有无填充信息？
  + 这个帧的数据长度为多少？
- 找到第96个分组，，它是何种类型的以太网帧，按照上文中的字段解析，进行分析：
  + 这个分组的源MAC地址是？
  + 这个分组的目的MAC地址是？
  + 这个帧的长度是多少？
  + 这个帧中有无LLC？具体内容是什么？
  + 这个帧的数据长度为多少？
- 使用显示过滤器，键入如下的表达式,查看检索到的以太网帧是那种类型，并尝试解释帧中各字段的含义：
```
eth[14] == FF and eth[15] == FF 
```

## ARP协议解析

### 报文格式

ARP报文格式如下图所示：

![查看arp表](images\02\ARPFRAME.png)
![查看arp表](images\02\arpframe1.png)

### 帧类型

用来向收到数据报的主机表示该数据报的类型，常见类型如下： 
- 0800:IP数据报； 
- 0806:ARP请求/应答数据报； 
- 8035:RAPP请求/应答； 

### 请求与应答消息

Request or Reply Message 这部分28字节，是ARP帧的核心部分。 

前14字节是以太网首部帧格式 ,然后后面四个字段描述了本ARP帧涉及的硬件类型和协议类型。 

- Hard Type：该字段占2个字节，指定硬件地址类型， 如值为1表示为以太网地址。 
- Prot Type ：该字段占2个字节，指定协议地址类型，如0x0800 表示协议地址类型为IPv4地址。该值与以太帧首部的类型字段相同。 
- Hard Size： 表示硬件地址的大小（单位：字节），如以太网地址为6。
- Prot Size ： 表示协议地址的大小（单位：字节）， 如IPv4地址大小为4。（硬件地址长度和协议地址长度，分别占1个字节，指出硬件地址和协议地址的长度，以字节为单位。）

- OP表示ARP的消息类型。 
  + 1：ARP Request； 
  + 2：ARP Reply 
  + 3：RARP Request 
  + 4：RARP Reply

后面四个字段写入的是一些物理地址和协议地址。不一定全部有值。 

对于ARP Request 而言，我们不知道目的MAC地址是什么，因此 Target’s Hardware Address 全部填充为0.


### ARP工作实例

下面我们就来谈一谈ARP地址解析协议是如何把目的地址的IP地址转化成MAC地址的。 

1. 首先，主机A想要向主机B发送消息，但它不知道主机B的MAC地址，只知道主机B的IP地址。这时，主机A会在当前局域网下以广播的形式发送ARP请求数据报,表示主机A想知道主机B的MAC地址（注：广播时，以太网首部的目的地址为全f）。 

![发起ARP请求](images\02\arp请求发送示意图.png)

2. 由于是广播，所以在本局域网上的所有主机都会受到主机A发送的ARP数据报，然后所有主机会把以太网首部这个报头给去掉，向上面的网络层发送ARP数据报。在这里我们便可以回答上面的问题了，以太网首部和ARP数据报内的MAC地址都不能少，一个是在数据链路层使用的，一个是在网络层使用的，因为两个层都不能看到互相的数据。 


3. 网络层首先会检查op字段，发现这时个ARP请求数据报，然后又会检查目的IP地址字段，检查完毕后，这时除了主机B外，在这个局域网内的其他主机都会把数据报丢弃，因为只有主机B的IP地址和目的IP地址是相同的。 

![响应ARP请求](images\02\arp应答示意图.png)

### ARP缓存

ARP高速缓存（即ARP表）是 ARP地址解析协议能够高效运行的关键， (如果有多次ARP响应时，以最后一次响应为准)

ARP给IP地址和MAC地址中间做了动态映射，也就是说缓存了一个ARP表，将得到的IP地址和MAC地址对应起来，如果在表中没有查到IP地址对应的MAC地址，就会发广播去找。随着用户的使用，ARP表如果不做任何措施，就会变得越来越臃肿缓慢，就降低了网络传输数据的效率，所以ARP缓存中每一项被设置了生存时间，一般是20分钟，从被创建时开始计算，到时则清除，如果在计时期间又被使用了，计时会重置。

我们可以通过arp命令"arp -a"查看arp表：

![查看arp表](images\02\arp缓存查看命令与结果.png)

ARP表中记录了一些IP地址与物理地址的映射，在arp表中，我们可以看到一个Flags字段，该字段有C、M、P三种取值： 
- C： 表明arp条目为通过ARP请求动态获取，（一般存活时间为20min） 
- M：表明arp条目为手动设置。 
- P： 表示Publish，表示该ARP条目可以用于恢复其他主机的ARP请求。（用于ARP proxy）


### 本节实验具体操作

- 打开样本库中arp_resolution.pcap样本文件

- 观察其中的两个帧，判断哪个帧是ARP请求帧，哪个是ARP应答帧

- 请求帧中，希望得到对应MAC地址的IP地址是什么？

- 应答帧中，得到的MAC地址是什么？

- 在以太网中进行广播，广播地址是？

- 使用arp -a命令在你的windows系统中查看你电脑中的arp缓存表

- 使用arp -s命令增加一条arp静态缓存

> arp -s 157.55.85.212   00-aa-00-62-c6-09

- 使用arp -d 命令删除一条arp缓存

> arp -d 157.55.85.212


## VLAN（IEEE 802.1q）

IEEE 802.1q协议也就是“Virtual Bridged Local Area Networks”（虚拟桥接局域网，简称“虚拟局域网”）协议，主要规定了VLAN的实现方法。IEEE 802.1q协议为标识带有VLAN成员信息的以太帧建立了一种标准方法。IEEE802.1q标准定义了VLAN网桥操作，从而允许在桥接局域网结构中实现定义、运行以及管理VLAN拓朴结构等操作。

“Virtual LANs”（虚拟局域网）目前发展很快，世界上主要的大网络厂商在他们的交换机设备中都实现了VLAN协议。在一个支持VLAN技术的交换机中，可以将它的以太网口划分为几个组，比如生产组，工程组，市场组等。这样，组内的各个用户就像在同一个局域网内（可能各组的用户位于很多的交换机上，而非一个交换机）一样，同时，不是本组的用户就无法访问本组的成员，在一定程度上提高了各组的网络安全性。

### VLAN分类

实际上，VLAN成员的定义可以分为4种：

- 根据端口划分VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分的，比如将某交换机的的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C……

以上这些属于同一VLAN组的端口可以不连续，如何配置由管理员决定。

另外，如果有多个交换机的话，例如，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机。

根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1q协议规定的就是如何根据交换机的端口来划分VLAN。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义一下就可以了。

它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

- 根据MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。所以可以认为这种根据MAC地址的划分方法是基于用户的VLAN。

这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

- 根据网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的。

虽然这种划分方法可能是根据网络地址，比如IP地址，子网掩码，但它不是路由，不要与网络层的路由混淆。

它虽然查看每个数据包的IP 地址，但由于不是路由，所以没有RIP（Routing information Protocol，路由信息协议），OSPF（Open Shortest Path First，开放最短路径优先）等路由协议，而是根据生成树算法进行桥交换。

这种方法的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。

其缺点是效率低，因为检查每一个数据包的网络层地址是很费时的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。

- 根据IP组播划分

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN组。

这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展。

当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。

- 小结

通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以很多厂商的交换机都实现了不只一种方法，这样网络管理者可以根据自己的实际需要进行选择。另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。

以前各个厂商都声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没法买其他厂商的了。

而现在，VLAN的标准是IEEE提出的802.1q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。

### 802.1Q帧格式

![Ethernet_802.1Q_Insert](images/05/Ethernet_802.1Q_Insert.svg.png)

802.1Q在源MAC地址和原始帧的EtherType字段之间添加32位字段。

最小帧大小保持不变，为64字节。

最大帧大小从1,518字节扩展到1,522字节。

两个字节用于标签协议标识符（TPID），另外两个字节用于标签控制信息（TCI）。TCI字段进一步分为PCP，DEI和VID。

|16位|3位|1位|12位|
|-|-|-|-|
|TPID|PCP|DEI|VID|

- 标签协议标识符（TPID）

16位字段设置为0x8100的值，以便将帧标识为IEEE 802.1Q标记帧。

该字段与未标记帧中的EtherType字段位于相同的位置，因此用于区分帧与未标记的帧。

- 标签控制信息（TCI）,包含以下子字段的16位字段：

  + 优先代码点（PCP）: 一个3比特字段，指的是IEEE 802.1p服务类并映射到帧优先级。可以使用不同的PCP值来区分不同类别的流量的优先级。  
  
  + 符合条件的指标（DEI）: 1位字段。（以前的CFI）可以单独使用或与PCP一起使用，以指示在拥挤时有资格丢弃的帧。  
  
  + VLAN标识符（VID）: 一个12位字段，指定帧所属的VLAN。保留0x000和0xFFF的十六进制值。所有其他值可用作VLAN标识符，允许最多4,094个VLAN。保留值0x000表示该帧没有携带VLAN ID; 在这种情况下，802.1Q标记仅指定优先级（在PCP和DEI字段中）并且被称为优先级标记。在网桥上，VID 0x001（默认VLAN ID）通常保留用于网络管理 VLAN; 这是特定于供应商的。VID值0xFFF保留供实现使用; 不得配置或传输。0xFFF可用于指示管理操作或过滤数据库条目中的通配符匹配。  
  
> 对于使用子网访问协议（SNAP）的帧，使用组织唯一标识符（OUI）字段00-00-00进行封装（以便SNAP头中的协议ID字段是RFC  1042中指定的EtherType），EtherType值在SNAP头中设置为0x8100，并在SNAP头之后附加上述额外的4个字节。

由于插入VLAN标记会更改帧，因此802.1Q封装会强制重新计算以太网预告片中的原始帧校验序列字段。

IEEE 802.3ac标准将最大以太网帧大小从1518字节增加到1522字节，以适应四字节VLAN标记。一些不支持帧大小1522的网络设备也能处理这些帧，但可能会将它们报告为“婴儿巨头”异常。

### 本节实验操作

- 请大家从百度网盘（链接：https://pan.baidu.com/s/1D7Ed4r2kl42jDBXoGnvkVQ （提取码：2nxb））下载 样本库.zip
- 解压后，使用wireshark打开其中的vlan.cap文件夹中的vlan.pcap样本文件
- 寻找含有802.1q协议的数据包记录
  + 如果找不到，可以思考如何定位查找802.1q的标签协议标识符TPID，或者尝试使用vlan作为过滤条件
- 新建着色规则，以黄色显示vlan类协议
- 使用协议分级统计工具，传输层以上的哪种协议传输的数据包最多？通过百度查找这种协议的主要功能，并根据它的功能猜测当求vlan通信的操作系统是什么？
- 上一问题发现的那种协议使用的tcp端口号是多少？
- 在该样本中，使用会话统计功能，找出与上一问题的tcp端口通话的两个IP地址和端口地址。
- 如何通过分组详情信息获知当前vlan的id是多少？
- 以上操作请将获得结论的wireshark截图粘贴在实验报告中，并简要说明。
