网络层负责在不同网络之间尽力转发数据包（基于数据包的IP地址转发）。不负责丢失重传，也不负责顺序（每一个数据包都是单独选择路径）。

可靠传输是由传输层实现。

网络设备和OSI参考模型

通过分层，屏蔽了互联网传输中的物理设备和通讯协议的复杂性。
路由器可以看到网络层的地址，因此称路由器为三层设备。

子网掩码的作用：说明网段中网络部分是哪些，比如说子网掩码为255.255.0.0，这就意味着这个局域网中的所有计算机（比如说IP地址为x.y.z.w）都有相同的网络部分x.y，后面的主机部分z.w是可以自己规划的。

网关：局域网中和外界交换数据的接口（一般是交换机接该局域网的接口），用于说明如果需要向外部传输数据需要给哪个接口发送信息。有一个不成文的规定：网关地址为该局域网内第一个可以使用的地址。例如：子网掩码255.255.0.0，网络部分11.10.,那么网关的地址一般就是11.10.0.1。

路由器等需要正确配置路由表才能够进行通讯。

计算机通信的过程

发送端准备

1. 应用程序准备要传输的文件
2. 传输层将文件分段，并进行编号
3. 网络层给每一段加上地址
4. 数据链路层 :判断方法：使用自己的子网掩码对比源IP和目标IP的网络部分（与运算）

• 相同，目标计算机和自己在同一个局域网内：广播询问目标IP的MAC地址（ARP协议）
• 不相同，说明不在一个网段：广播询问网关IP的MAC地址（ARP协议）
  将MAC地址加在数据包上，再加上FCS(帧检验序列)

5. 物理层将帧转换为比特流发送

IP地址负责首地址和目的地址，MAC地址负责这一跳和下一跳。交换机等设备只能根据MAC地址进行传输。集线器是广播式传输，不会对比特流进行判断。

集线器和网线都是物理层设备。

交换机进行存储转发：会将比特流接收，然后查看目标MAC地址决定如何转发。即交换机可以看懂数据链路层的地址。因此说交换机工作在第二层（数据链路层），是二层设备。

路由器：收到数据帧以后检查是发送给自己的然后将数据帧转换为数据包（网络层数据），然后根据目标IP地址和自己储存的路由表选择路径。
（会修改数据包中的生存时间和数据帧中的MAC地址）
点到点通信：使用PPP协议，将数据包重新封装成数据帧，不写原MAC地址，只写目标MAC地址FF（因为不需要判断，只有一个链路）。

因此路由器是网络层设备（三层设备）

病毒是一种应用程序。在传送的时候会被应用层切成小段，因此集线器、交换机、路由器都不会中病毒。

但是病毒可能影响网络通信：
比如在内网不断发送广播通信，或者某个计算机占用了过多的流量。

网络层协议

ARP协议为IP协议提供服务，IP协议为ICMP和IGMP协议提供服务

ARP协议

负责将IP地址解析为MAC地址，是数据通信之前的工作。

假如发送方IP为X，MAC为A，接收方IP为Y
在确定IP地址Y以后，发送广播（目标MAC地址为全FFF-FF-FF-FF-FF-FF），询问IP地址为Y的电脑的MAC地址，Y收到广播后发现是询问自己的MAC地址，就将自己的MAC地址B告诉X。然后X将Y的MAC地址保存在缓存中，方便下次发送数据（下次发送的时候就不会进行询问了）

arp -aWindows查看ARP缓存

ARP欺骗

因为ARP协议采取的是广播通信的方式来获得目标IP的MAC地址，如果根据这一特性当收到广播的时候就算不是询问自己的MAC地址也回应， 就会导致发送方误以为这个MAC地址是真的（当然目标IP也会发送一个MAC地址，但是后发送的会覆盖前面的），然后将数据都发给这个恶意回复的电脑，再将数据发给目标IP，通过这种方式获取本不是发送给自己的数据。

相关软件：网络执法官、P2P终结者

ARP欺骗是数据链路层故障（因为是MAC地址出错）

可以用arp -s静态设置IP地址的MAC地址

但是静态设置的重新启动电脑以后就会被清除

可以将命令放在bat文件中，然后运行gpedit.msc(组策略编辑器)添加到开机脚本中
本地连接->修复，会将ARP的缓存清除掉

ICMP协议

在IP协议之上，用来测试网络层是否畅通，如果有故障还能报告故障。
PING 命令使用 ICMP协议
主要命令PING（Packet Internet Grope），因特网包探索其，用于测试网络连接量的程序。

ping 局域网的延迟一般小于10ms

TTL 对方发回来的数据包的生存时间（数据包的生存周期），每经过一个服务器，数据包的TTL减一，当数据包的TTL为0的时候将不会再发送该数据包。（通过这种方式防止数据包在网路上循环）

使用TTL可以粗略地估计对方的操作系统：如果ping的时间不长，可以通过TTL的范围判断。

• Linux 64
• Windows 128
• Unix 255

参数： /?查看所有的参数
ping -t不断ping ping -l size IP改变包的大小
ping -i TTL IP改变TTL的大小，能够跟踪途径的服务器

QQ能上网，但是网页打不开：说明网络层没有问题，没有欠费，没有ARP欺骗，应该配置DNS服务器。

就算DNS服务器出现问题，QQ能够登录的原因是QQ直接使用IP地址，因此不需要解析域名。

ping的时候注意是哪里返回信息

本地返回目标主机不可到达：可能网关错误
网关返回目标主机不可到达：路由器没有设置路由

pathping跟踪数据包路径，计算丢包情况（只能够在windows下使用）

tracert 跟踪路径，在路由器上也支持（traceroute）

ping命令使用ICMP协议，虽然可以产生网络流量，但是是网络层命令，不是应用层程序（不需要对方安装什么应用程序）

IGMP协议

Internet 组播管理协议

通信方式

点到点通信：目标地址很明确
广播通信：在一个网段中实现，目标MAC地址为全一，网段中的所有计算机都能收到。但是无法跨越路由器
组播（多播）：相当于电视频道，让一组计算机绑定多播地址接收一个计算机发送的信息

IGMP协议原理

IGMP协议放在路由器上，扫描本网段中哪些计算机绑定多播地址，向上游路由器请求数据包。
多播不建立会话。

IP数据包

一个IP数据包由首部和数据两部分组成
首部：

• 首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的
• 在首部的固定部分的后面是一些可选字段，其长度是可变的(大部分数据包都没有)
  
• 版本 4bit：用来标识TCP/IP协议是哪一个版本的 v4/v6
• 首部长度：4bit，是否有可选字段
• 区分服务：一个字节，设置数据包优先级 QoS
• 总长度：2字节，数据包总共的长度，16bit，最大65535字节（2¹⁶-1），数据链路层数据最大1500字节(最大传输单元MTU)，因此需要对大的数据包进行分片才能成功发送。因此数据包的数据部分最大为1480字节（1500-20），否则就需要分片
  分片：将数据包中数据部分分割后都加上IP地址和分片的标识 ，传输后再组装成大的包再给网络层。
  如果有的分片没有达到，接收方就会等待。（泪滴攻击）
• 标识：2个字节数据包的标号，同一个数据包的分片有相同的标识
• 标志：占3bit，目前只有两位有意义。标志字段的最低为是MF(More Fragment)，MF=1标识后面还有分片，MF=0标识这是最后一个分片。标志字段中间一位是DF(Don’t Fragment)，只有当DF=0的时候才允许分片
• 片偏移：该片开始部分在原数据包中数据部分位置/8
• 生存时间：就是ping命令中的TTL，每经过一个路由器就会减一，防止数据包在路由环路上一直传送
• 协议：传输层UDP(17)/TCP(6) 网络层OSPF(89)/ICMP(1)/IGMP(2) IPv6(41)
• 首部检验和：只检验数据包的首部，不检验数据部分。
  
• 源IP地址32bit 4字节
• 目标IP地址32bit 4字节
• 可变部分：为了增加IP数据包的功能（新的IP版本IPv6没有可变部分），实际上很少使用

IP协议

让路由器自动学习路由表的所有协议都是IP协议，有很多。
路由分为两种：

• 管理员设置的静态路由（网络环境比较复杂的时候不太现实）
• 路由器自动学习的动态路由

网络畅通的条件：数据包有去有回：沿途的路由都知道源IP地址和目标IP地址应该怎么走

静态路由：需要管理员告诉路由器所有没有直连的网络下一跳给谁
适合小的网络
不会随着网络状态的变化自动调整

动态路由

RIP协议

每个路由器周期性广播路由表：每隔30秒发一个广播，告诉自己连接的网段。
如果没有发送广播其他路由器就认为没有到达
判断路径的标准：跳数越少越好
周期性更新说明路由器还在工作
如果3个周期（90S)没有发送消息，邻居就认为该路由器已经去世
最大跳数15跳。
不适应网络规模比较大的情况

OSPF协议

根据带宽选择最佳路径