ARP 和 RARP

4.4.1 考点分析

历年网络工程师考试试题涉及本部分的相关知识点有：ARP 和 RARP 定义、ARP 病毒、ARP  病毒的发现和解决手段。

4.4.2 知识点精讲 

1．ARP 和 RARP 定义

地址解析协议（Address Resolution Protocol，ARP）是将 32 位的 IP 地址解析成 48 位的以太网 地址；而反向地址解析（Reverse  Address  Resolution  Protocol，RARP）则是将 48 位的以太网地址 解析成 32 位的 IP 地址。ARP 报文封装在以太网帧中进行发送。ARP 的请求过程如下：

（1）发送 ARP 请求。

请求主机以广播方式发出 ARP 请求分组。ARP 请求分组主要由主机本身的 IP 地址、MAC 地 址以及需要解析的 IP 地址三个部分组成。具体发送 ARP 请求的过程如图 4­12 所示，该图要求找 到 1.1.1.2 对应的 MAC 地址。

图 4­12  发送 ARP 请求分组

第1天

（2）ARP 响应。

所有主机都能收到 ARP 请求分组，但只有与请求解析的 IP 地址一致的主机响应，并以单播方 式向 ARP 请求主机发送 ARP 响应分组。ARP 响应分组由响应方的 IP 地址和 MAC 地址组成。具 体过程如图 4­13 所示，地址为 1.1.1.2 的主机发出响应报文。

图 4­13  发送 ARP 响应分组

（3）A 主机写高速缓存。 

A 主机收到响应分组后，将 1.1.1.2 和 MAC 地址 00­00­00­00­00­22 对应关系写入 ARP 高速缓 存。ARP 高速缓存纪录了 IP 地址和 MAC 地址的对应关系，避免了主机进行一次通信就发送一次  ARP  请求分组的情况出现，减少了网络中  ARP  请求带来的广播报文。当然高速缓存中的每个  IP  地址和 MAC 地址的对应关系都有一定的生存时间，大于该时间的对应关系将被删除。 

2．ARP 病毒 

ARP 病毒是一种破坏性极大的病毒，利用了 ARP 协议设计之初没有任何验证功能这一漏洞而 实施破坏。ARP 木马使用 ARP 欺骗手段破坏客户机建立正确的 IP 地址和 MAC 地址对应关系，把 虚假的网关 MAC 地址发送给受害主机。达到盗取用户账户、阻塞网络、瘫痪网络的目的。 

ARP 病毒利用感染主机的方法向网络发送大量虚假的 ARP 报文，主机没有感染 ARP 木马时 也有可能导致网络访问不稳定。例如：向被攻击主机发送的虚假 ARP 报文中，目的 IP 地址为网关  IP 地址，目的 MAC 地址为感染木马的主机 MAC 地址。这样会将同网段内其他主机发往网关的数 据引向发送虚假 ARP 报文的机器，并抓包截取用户口令信息。 

ARP 病毒还能在局域网内产生大量的广播包，造成广播风暴。 

3．一类 ARP 病毒的发现和解决手段

网管员经常使用的发现和解决 ARP 病毒的手段有：接入交换机端口绑定固定的 MAC 地址、

查看接入交换机的端口异常（一个端口短时间出现多个 MAC 地址）、安装 ARP 防火墙、发现主机

第1天 

ARP 缓存中的 MAC 地址不正确时可以执行 arp­d 命令清除 ARP 缓存、主机使用“arp­s  网关 IP 地 址/网关 MAC 地址”命令设置静态绑定。

通常还可以通过安装杀毒软件、给各类终端系统打补丁、交换机启用 ARP 病毒防治功能等组 合方式阻挡攻击并去除 ARP 病毒。

4.5 IPv6

4.5.1 考点分析

历年网络工程师考试试题涉及本部分的相关知识点有：IPv6 的书写规则、单播地址。

4.5.2 知识点精讲 

IPv6（Internet  Protocol  Version  6）是 IETF 设计的用于替代现行 IPv4 的下一代 IP 协议。IPv6  地址长度为  128  位，但通常写作  8  组，每组为  4  个十六进制数的形式，如  2002:0db8:85a3:08d3: 

1319:8a2e:0370:7345 是一个合法的 IPv6 地址。 

1．IPv6 的书写规则

（1）任何一个 16 位段中起始的 0 不必写出来；任何一个 16 位段如果少于 4 个十六进制的数 字，就认为忽略了起始部分的数字 0。

例如，2002:0db8:85a3:08d3:1319:8a2e:0370:7345 的第 2、第 4 和第 7 段包含起始 0。使用简化 规则，该地址可以书写为 2002:db8:85a3:8d3:1319:8a2e:370:7345。

注意：只有起始的 0 才能被忽略，末尾的 0 不能忽略。

（2）任何由全 0 组成的 1 个或多个  16 位段的单个连续字符串都可以用一个双冒号“::”

来表示。

例如：2002:0:0:0:0:0:0:0001 可以简化为 2002::5。

注意：双冒号只能用一次。 

2．单播地址

单播地址用于表示单台设备的地址。发送到此地址的数据包被传递给标识的设备。 单播地址和 多播地址的区别在于高八位不同，多播地址的高八位总是十六进制的 FF。单播地址有以下几类：

（1）全球单播地址。

全球单播地址是指这个单播地址是全球唯一的，其地址格式如图 4­14 所示。

图 4­14  全球单播地址格式

第1天

当前分配的全球单播地址最高位为 001（二进制）。

（2）链路本地单播地址。

链路本地单播地址在邻居发现协议等功能中很有用，该地址主要用于启动时及系统尚未获取较 大范围的地址时，链路节点的自动地址配置。该地址的起始 10 位固定为 1111111010（FE80::/10）。

（3）地区本地单播地址。

这个地址仅在一个给定区域内地址是唯一的，其他区域内可以使用相同的地址。但这类方式争 议较大，地区本地单播地址的起始 10 位固定为 1111111011（FE8C::/10）。

（4）任意播地址。

任意播地址更像一种服务， 而不是一台设备， 并且相同的地址可以驻留在提供相同服务的一台 或多台设备中。任意广播地址取自单播地址空间，而且在语法上不能与其他地址区别开来。寻址的 接口依据其配置确定单播和任意广播地址之间的差别。 使用任意播地址的好处是路由器总选择到达 最近的或代价最低的服务器路由。因此，提供一些通用服务的服务器能够通过一个大型的网络进行 传播，并且流量可以由本地传送到最近的服务器，这样可以使得流量模型变得更加有效。

（5）组播地址。

多播地址标识不是一台设备，而是多台设备组成一个多播组。发送给一个多播组的数据包可 以由单台设备发起。一个多播数据包通常包括一个单播地址作为它的源地址，一个多播地址作为 它的目的地址。一个数据包中，多播地址从来不会作为源地址出现。IPv6  中的组播在功能上与  IPv4  中的组播类似：表现为一组接口可以同时接受某一类的数据流量。IPv6  的组播地址格式如 图 4­15 所示。

图 4­15  IPv6 的组播地址格式

组播分组前 8 比特设置为 1，十六进制值为 FF。接下来的 4 比特是地址生存期：0 是永久的， 

1 是临时的。接下来的 4 比特说明了组播地址范围（分组可以达到多远）：1 为节点、2 为链路、5  为站点、8 为组织、E 为全局（整个因特网）。

如表 4­6 所示给出了 IPv6 高位数字代表的地址类型。

表 4­6  IPv6 地址类型

地址类型 高位数字（二进制） 高位数字（十六进制）

未指定  00…0  ::/128 

环回地址  00…1  ::1/128 

多播地址  11111111  FF00::/8 

链路本地单播地址  1111111010  FE80::/10

第1天

续表

地址类型 高位数字（二进制） 高位数字（十六进制）

地区本地单播地址（有争议）  1111111011  FEC0::/10 

全球单播地址（当前分配的）  001  2xxx::/4 或者 3xxx::/4  剩下作为未来全球单播地址分配

4.6 NAT

4.6.1 考点分析

历年网络工程师考试试题涉及本部分的相关知识点有：基本 NAT、NAPT。

4.6.2 知识点精讲

网络地址转换（Network  Address Translation，NAT）将数据报文中的 IP 地址替换成另一个 IP  地址，一般是私有地址转换为公有地址来实现访问公网的目的。这种方式只需要占用较少的公网  IP 地址，有助减少 IP 地址空间的枯竭。传统 NAT 包括基本 NAT 和 NAPT 两大类。

（1）基本 NAT。 

NAT 设备配置多个公用的 IP 地址，当位于内部网络的主机向外部主机发起会话请求时，把 内部地址转换成公用 IP 地址。如果内部网络中主机的数目不大于 NAT 所拥有的公开 IP 地址的 数目，则可以保证每个内部地址都能映射到一个公开的  IP  地址，否则允许同时连接到外部网络 的内部主机的数目会受到 NAT 公开 IP 地址数量的限制。也可以使用静态映射的方式把特定内部 主机映射为一个特定的全球唯一的地址，保证了外部对内部主机的访问。基本  NAT  可以看成一 对一的转换。

基本 NAT 又可以分为静态 NAT 和动态 NAT。静态 NAT 中，内、外网 IP 地址映射是固定的；

动态 NAT 中，内、外网 IP 地址映射是动态的。

（2）NAPT。

网络地址端口转换（Network Address Port Translation，NAPT）是 NAT 的一种变形，它允许多 个内部地址映射到同一个公有地址上， 也可称之为多对一地址转换或地址复用。NAPT 同时映射 IP  地址和端口号， 来自不同内部地址的数据报的源地址可以映射到同一个外部地址，但它们的端口号 被转换为该地址的不同端口号，因而仍然能够共享同一个地址，即 NAPT 出口数据报中的内网 IP  地址被 NAT 的公网 IP 地址代替，出口分组的端口被一个高端端口代替。外网进来的数据报根据对 应关系进行转换。 NAPT 将内部的所有地址映射到一个外部 IP 地址 （也可以是少数外部 IP 地址） ， 这样做的好处是隐藏了内部网络的 IP 配置、节省了资源。

第1天