为了看清楚ARP的运作过程,我们执行telnet命令与无效的服务器连接。
当我们在另一个系统(s u n)上运行带有-e选项的t c p d u m p命令时,显示的是硬件地址(在我们的例子中是48 bit 的以太网地址)。图4 - 4中的t c p d u m p的原始输出如附录A中的图A - 3所示。由于这是本书第一个t c p d u m p 输出例子,你应该去查看附录中的原始输出,看看我们作了哪些修改。
图4-4 TCP连接请求产生的ARP请求和应答
我们删除了t c p d u m p命令输出的最后四行,因为它们是结束连接的信息
在第1行中,源端主机(b s d i)的硬件地址是0 : 0 : c 0 : 6 f : 2 d : 4 0。目的端主机的硬件地址是ff : ff : ff : ff : ff : ff ,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理,如图4 - 2所示。
第1行中紧接着的一个输出字段是a r p,表明帧类型字段的值是0 x 0 8 0 6,说明此数据帧是一个A R P请求或回答。
在每行中,单词a r p或i p后面的值6 0指的是以太网数据帧的长度。由于A R P请求或回答的数据帧长都是4 2字节(2 8字节的A R P数据,1 4字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:6 0字节。
这个最小长度6 0字节包含1 4字节的以太网帧头,但是不包括4个字节的以太网帧尾。有一些书把最小长度定为6 4字节,它包括以太网的帧尾。我们把最小长度定为4 6字节,是有意不包括1 4字节的帧首部,因为对应的最大长度(1 5 0 0字节)指的是M T U—最大传输单元(见图2 - 5)。我们使用M T U经常是因为它对I P数据报的长度进行限制,但一般与最小长度无关。大多数的设备驱动程序或接口卡自动地用填充字符把以太网数据帧布满到最小长度。第3,4和5行中的I P数据报(包含T C P段)的长度都比最小长度短,因此都必须填充到6 0字节。
第1行中的下一个输出字段arp who-has 表示作为A R P请求的这个数据帧中,目的I P地址是s v r 4的地址,发送端的I P地址是b s d i的地址。t c p d u m p打印出主机名对应的默认I P地址(在4 . 7节中,我们将用-n选项来查看A R P请求中真正的I P地址。) 从第2 行中可以看到,尽管A R P 请求是广播的,但是A R P 应答的目的地址却是b s d i(0 : 0 : c 0 : 6 f : 2 d : 4 0)。A R P应答是直接送到请求端主机的,而是广播的。t c p d u m p打印出arp reply的字样,同时打印出响应者的主机名和硬件地址。第3行是第一个请求建立连接的T C P段。它的目的硬件地址是目的主机(s v r 4)。
在每一行中,行号后面的数字表示t c p d u m p收到分组的时间(以秒为单位)。除第1行外,其他每行在括号中还包含了与上一行的时间差异(以秒为单位)。从这个图可以看出,发送A R P请求与收到A R P回答之间的延时是2.2 ms。而在0.7 ms之后发出第一段T C P报文。在本例中,用A R P进行动态地址解析的时间小于3 ms 。
最后需要指出的一点,在t c p d u m p命令输出中,我们没有看到s v r 4在发出第一段T C P报文(第4行)之前发出的A R P请求。这是因为可能在s v r 4的A R P高速缓存中已经有b s d i的表项。一般情况下,当系统收到A R P请求或发送A R P应答时,都要把请求端的硬件地址和I P地址存入A R P高速缓存。在逻辑上可以假设,假如请求端要发送I P数据报,那么数据报的接收端将很可能会发送一个应答。