TCPIP卷一（1）：二层封装与路由器转发数据过程

二层封装

为什么需要了解二层封装呢？因为在一个路由器转发数据包的时候，除了知道目的地怎么去（有路由），还需要二层的正确封装，否则就算有路由的话，也无法进行通信。

这是卷一提到过的，虽然没有像协议卷一说得那么细，但是，它也说明了，必须获取数据链路层的信息才能正常进行封装，而这个二层的信息通常就是目的mac地址，而提供这个IP对应MAC的机制，就通过ARP来完成，并且通过缓存保存下来。而网络层，则是通过静态或者动态路由协议获取相关的信息，保存在路由表中，也叫路由选择信息库 RIB。

这个拓扑主要介绍ARP和代理ARP在以太网类型中起一个什么作用。IP地址信息如图上所示

证明一

第一个证明，二层如果没有获取到封装的信息，则数据包都不会发送出去。
根据这个图就配置了IP地址，右边路由有一跳缺省路由，这时候随便测试一个不存在的地址，查看数据包发送的情况。
在R2上telnet 12.1.1.3，一个不存在的地址。

没有响应是正常的，但是这个没响应，到低是因为找不到二层的封装，还是应用层没有响应呢。三层信息路由是没有问题的，因为是直连网段，，那么以太网通信，必须知道对方的MAC地址，而默认情况下，是不知道的，那么就需要一个机制来进行查询，就是ARP了。

发送了三个ARP查询，而网络中没有人进行响应，所以，二层无法得到封装（没有获取12.1.1.3的MAC地址）则通信失败。

这时候，我们做一个静态ARP绑定，然后在进行telnet，MAC地址可以随意定义。

其中1.1.1就是表示MAC 0001.0001.0001 可以省略写的。

发现了什么？因为MAC地址有了封装（就是手工绑定的），它直接发送TCP连接给12.1.1.3了，发送了4个SYN的包，因为对方没有响应SYN+ACK，所以这个TCP会话没有继续进行下去。

结论：无论在一个相同网段，还是不同网段的情况下，如果二层的介质是以太网，那么就必须获取对方的MAC地址信息，相同网段则是目的地址的MAC地址，不同网段则是路由表中的下一跳，一种特殊情况下，就是启用了代理arp的话，那么也是目的地址，但是MAC则是下一跳。这也是在当前IPV4的网络中，ARP是一个非常不安全的协议，因为很容易就实现攻击了，只要网关的MAC被攻击者以错误的MAC告诉当前网络的设备，那么整个网络就通信不正常了。

证明二

第二个证明：路由器在路由模式和主机模式下，数据包是怎么通信的。

还是这个拓扑，在右边路由器上关闭路由功能，no ip routing，那么能与 1.1.1.1通信么？

答案是：可以的。

通了是通了，那么它是怎么通的呢

在show arp后，发现除了有12.1.1.1的MAC地址信息（之前ping过了），还有1.1.1.1对应的MAC信息，另外一个重要的信息就是12.1.1.1和1.1.1.1的MAC地址信息都是关于12.1.1.1的，这是为什么？这就是所谓的代理ARP和主机模式工作的工程。

主机模式工作：

1、无网关情况下：当没有网关的情况下，它会对当前网络进行ARP查询，询问访问的目的地址的MAC地址信息，如果这个时候，网关知道怎么去这个目的地址，并且开启了代理ARP的功能，那么就会回应这个ARP响应，那么回应的内容就是这个目的地址的MAC地址是自己，这对于PC或者主机路由器来说是不知道的，它就认为这个MAC是对应目的主机，每次发送去往这个目的地址的时候，二层就封装这个目的MAC，然后发送出去。

2、有网关的情况下：当有网关的情况下，它只会询问网关的MAC是多少，如果网关响应了后，那么PC或主机路由器，就会把这个数据包发送出去，它不管网关是否知道怎么去往这个目的地址不。

可以进行证明：1、在没有网关的情况下，把R1的代理ARP给关闭了，默认是打开的，并且把ARP 缓存清掉 shutdown接口，clear arp

不通，因为R1的接口已经关闭了代理ARP了，所以不不会去响应这个ARP的Request。

2、设置网关为R1的接口，并且发送一个去往2.2.2.2的telnet的会话，看TCP会话是否会发出去，如果出去了，就证明之前说的是对的，不管网关是否知道目的地可达，PC或主机路由器都会发送。

这时候开始telnet 2.2.2.2

telnet2.2.2.2 ,提示目的不可达，或者网关和主机是downde

首选，路由器发送ARP的Request选为12.1.1.1（GW）的MAC地址是多少。R1响应这个ARP的请求。紧接着一个TCP会话发送出去，R1直接回复一个ICMP的差错报文，主机不可达。

路由模式下的路由器：

路由模式的数据包转发，不跟主机模式一样，主机模式是只要设置了网关或者没设置都会发送arp请求，但是，路由模式的话，先查看路由表，如果路由表中没有该路由，则不做任何动作。

可以看出，因为路由表没有去往2.2.2.2的路由信息，所以不采取任何动作，连ARP都没有发送。

证明三

第三个证明：两个不同网段的主机，能否进行通信？
在设置有GW的情况下，肯定是不可能的，但是，在某种情况下，它却成为可能，那就是两个主机都不设置IP，并且有代理ARP功能。

说明：R1和R2都是关闭了路由功能的路由器，并且接口开启了代理ARP功能。IP地址与图

从R1开始ping 2.2.2.2，并且抓取R1的数据包进行分析。

没看错，R1与R2可以通信了，仔细看抓包的内容，首先R1发送一个arp的查询，｛how has 2.2.2.2？ tell 1.1.1.1｝一个询问2.2.2.2的MAC Request包就发送出去了，因为R2与R1是直连（链路），所以，R2收到了这个ARP 的Request，而且R2是开启了代理ARP功能的，也就是说只要R2知道2.2.2.2怎么去，就会响应这个ARP的请求（这里明显就是自己），所以第二个诉举报就是arp的reply｛2.2.2.2 is at c0：01：05：04：00：00｝,那么这时候R1就有R2的mac地址映射了，所以就发送了数据包出去，也就是icmp的echo，这时候R2收到，需要回应这个数据包，但是，它并不知道对方的MAC是什么，紧接着也发送了一个ARP的请求过去，询问1.1.1.1的MAC，然后,R1回复这个ARP请求。后续，通信就正常了。
注意：如果是正常的ARP询问，那么只要一方放送ARP请求，另外一份响应的时候，还会把请求方的ARP的信息缓存起来。并且在主机模式下的路由器是不能关闭代理ARP的，就算接口下关闭了，也一样会响应请求。

其实，不只有代理ARP能实现这个需求，比如在PC的情况下，因为PC没有代理ARP机制，所以，可以直接把1.1.1.1的网关设置为2.2.2.2，2.2.2.2的网关为1.1.1.1，它一样能通信，因为它会发送ARP信息来请求网关。

注意：并不是所有的操作系统都是能执行的，有些是禁止的，之所有说明这个案例，主要是说明ARP在MAC和IP对应时候的作用，已经二层封装。

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog（其他平台同名），版权归网络之路Blog所有，原创不易，侵权必究，觉得有帮助的，关注、转发、点赞支持下！~。