lns防火墙终极教程.doc

1、Look n stop （LNS）防火墙的安装、使用、全局规则编辑2009-0410 爱罗忧一。安装。01。先安装 Microsoft Visual C+ 2005 Redistributable 运行库。02。安装 LNS，最好不更改安装位置，如果遇到提示驱动程序未验证，允许。重启。03。退出 LNS，复制插件、汉化文件（*.DLL 、Chinese.LNG）到 C:Program FilesSoft4Everlooknstop 内。04。打开 LNS，在注册栏的“序列号”中填入序列号，“应用 ”后，如果按钮变成灰色则注册成功。注册码只要未重装系统都有效，但只对本机有效。05。初次使用时，如

2、果不太了解 LNS，建议先取消“程序过滤”和“互联网过滤”下面的 ，配置或熟悉后再启用。二。界面说明。01。欢迎 Welcome(图：LNS01-欢迎)只有在“已连接”打的情况下，LNS 才工作。02。程序过滤 Application Filtering(图：LNS02- 程序控制 1)01）左边显示的是当前正在访问网络的程序，此会影响绑定了程序的规则。右边是程序访问网络的规则。下面的“启用应用程序过滤” 即启停这个程序控制功能。02）只有在“选项”栏“ 高级选项 ”的“高级模式 Advanced Mode”启用后，才可设置程序控制中的程序具体允许该程序程序访问的 IP 地址或端口。03）未在

3、程序控制列表中的程序以及未启用的程序规则的程序访问网络时，LNS 会弹出询问界面。04）含中文等非英文数字字符的路径或程序名， LNS 记不住此程序的规则且显示为乱码。注意：LNS 监控到某程序访问网络但没有具体行为，直接拦截却会出现问题，可拦截此程序的所有端口。(图：LNS03- 程序控制 2)(图：LNS04- 程序控制 3)03。程序规则。(图：LNS05- 程序控制4)01）在此设置的端口或 IP 地址都是目的地址。多个值用分号隔开。范围使用减号。不允许的使用叹号。02）某端口或 IP 栏不填，表示该栏全允许。 TCP 与 UDP 互不影响。只设置了不允许的，则全不允许。只设置了允许的

4、，只允许这个的端口或地址。图示中所示为，允许 IE 使用 TCP 协议访问任何地址的21、80、443、8000、8080 9000 端口，允许 IE 使用 UDP 协议访问192.168.0.1192.168.1.255 但排除 192.168.1.2 的 0 端口。小提示：端口 0 其实是无效端口，当设置 0 时其实表示的已经就是不允许所有了，这很有用，比如只允许 IE 访问 TCP 协议的某某或者全部，但不允许使用 UDP，则在 UDP 端口中填入 0 即可。另外，由于 LNS 在未设置程序具体规则时，设置为拦截该程序且显示日志，则在日志中不会显示该程序想要访问的端口或地址，只有设置了规

5、则情况下才会显示，为一个陌生程序建立程序规则时先在 TCP 和 UDP 端口中填入 0，日志中得到具体端口和 IP 后再更改规则。04。互联网过滤 Internet Filtering(图：LNS06-全局规则)01）所有规则对所有进出的网络数据有效。对所有程序有效，无论规则是否绑定程序。02）进出的数据从上往下依次经各条规则的检查，当符合某条规则时，即放行或者拦截，而不再接受该规则下面的规则检查（取消了黄色标记的除外）。03 ）保存、另存为、载入：全局规则是保存在一个文件中的，可使用这 3 个按钮来保存修改的规则，另存规则或使用其它规则包文件。04）启用网络过滤：即启停互联网过滤。当停用后，

6、数据不再接受任何规则检查，一律放行，不过本机发出的数据可能要经过程序过滤的检查。05）添加、编辑、删除、上下移动、导入导出：添加删除移动某条规则，或导入导出某条规则到文件中（*.RIE）。右键选择规则剪切、粘贴可快速移动规则位置。06）编辑添加某条规则后，必须 “应用”才生效。设置某条规则的状态（启停、报警等）即时生效。所有修改必须保存后才保存在规则包文件中。07）规则名将出现在日志中。规则名和描述任意，但少数中文字体会显示乱码（例如“服”）。小提示：规则包文件 .RLS 改成.RIE 后也可用导入来导入某条规则。05。日志 Log(图：LNS07-日志)01 ）U 表示本机发出，D 进入本机

7、。表示拦截的数据，放行。后面跟随序列号。02）类型栏中表示数据的协议类型。如果带“F:”表示选项中设置了日志阀值，后面的暂时省略（参见高级选项）。03）地址程序：显示的为对方地址或对方主机名，如果是程序控制产生的显示的是本机程序名。04）补充、其它信息：目标端口 ports Dest，来源端口 Src。05）可双击某条日志查看详细内容。可删除某条日志或清空。06）右键或点“ 创建规则 ”可建立一条“允许该协议，任何地址:对方端口本机: 任何端口”的规则，或 “允许该协议，本机 :该端口任何地址:任何端口”的规则。06。选项 Options(图：LNS08- 选项 1)推荐的设置方式见图。01）

8、网络适配器：必须是需要 LNS 监控的适配器。ADSL 拨号选 WAN，局网或路由器选网卡。如果 LNS 自动选择不正确，取消自动选择，手工选。02）日志声音：声音启用的情况下，在全局规则中设置需要发出声音的才会发出声音，同时程序控制中设置了日志标志的也将发出声音。未指定声音文件则使用系统的提示音。03）消息框：启用后设置了弹出提示的规则才会弹出提示。程序控制中的不会。04）解析：比如将 TCP80 端口显示成 www-http。222.222.211.98 显示成。因不直观，不推荐。05 ）自动启动 LNS：服务是 LNS 在系统的“ 服务”增加一条自己来启动 LNS，推荐，可检测到系统更底

9、层的程序访问网络的情况。06）LNS 设置：选择额外保存，会生成 C:Documents and Settings你的系统的用户名Local SettingsApplication DatalooknstopLNS.REG 注册表文件，保存了 LNS 的选项设置、注册序列号，以及程序控制设置、动态链接库设置，但不含全局规则以及插件设置。重装 LNS 时可导入。07。高级选项设置(图：LNS09- 选项 2)推荐的设置方式见图。01）防止日志溢出：当有大量符合某规则的数据包通过，并且该规则设置了显示日志，容易造成系统崩溃，建议启用。阀值，即短时间出现这么多条此规则产生的日志时，后续的将不再产生日

10、志，直至达到“ 恢复于” 设定的时间。条数限制和大小限制用于限制整个日志的条数以及日志文件的大小。02）密码：设置了密码后想修改任何、退出 LNS 都需要停用密码设置（需要输入密码）。03 ）高级模式：只有启用后才能：设置程序控制中每个程序的详细规则，日志中“追综来源”，日志中右键建立规则菜单，网络过滤中设置弹出提示或声音，以“服务”方式启动 LNS 等等。04）原始日志：另外单独生成一份原始数据的日志文件。05）TCP 全状态包检测：假设一个本机程序使用 111 端口对某地址 80 端口发出访问请求，但是该地址在等待时间内并没有回复本机，等到本机关闭了 111 端口后该地址才发出信息要与本机

11、连接，此时本机已不会再接收这个数据了。勾选此设置后，LNS 会拦截这个数据的进入。只对 TCP 协议有效。06）此程序退出后依然有效：如果不选，则退出 LNS 后将不进行程序控制或网络数据包过滤。07）启用 IP 碎片管理：数据的第一个分片包根据规则允许或拦截，则后续的分片包不经规则过滤直接允许或拦截。不启用则每个数据包都需要经过规则过滤。（一般在 P2P 时这种数据比较多）08）网络适配器自动检测时不监控的地址：如果 LNS 监控的本机网卡的 IP 地址在这里列出的 IP 地址中，则 LNS 认为本机未连网，LNS 不监控网络（例如本机网卡未正确连接路由时系统分配的 169.254）。09）

12、插件：需要启用的打。language.DLL 是语言包插件，如果要使用汉化版，则必须启用。ARP.DLL 是日志中查看 ARP 类型数据详细内容的插件。EditRawRule 是 RAW 模式规则插件。LookAtThisIP.DLL 是查看在日志中对应的 IP 地址的详细信息的插件，需先 “配置”该插件，例如填上“http:/ At This IP”，在新打开的网页中可看见此 IP 的地理位置等相关信息（取决于设置的网页）。10）动态链接库：即设置哪些 DLL 文件访问网络允许或拦截或记录日志。不了解 DLL 的不推荐启用。另外，DLL 条数有限。三。规则的编辑、制定。1。各个选项的意思：（

13、自制图。蓝色为常选值。中英文对照）（图：LNS10-规则 00）数据进出方向：制定的规则只针对本机发出、本机接收或者双向的数据包进行过滤。以太网 类型：如果设置的规则是针对 TCP、UDP 、或 ICMP、IGMP 的，这里就选 IP 或者 IPV4。I P 协 议：即 TCP 还是 UDP 或者 ICMP 的数据。碎 片 偏移：碎片数据的设置，很少使用。等于 0 表示不是碎片，不等于 0 表示进入的数据为碎片。碎 片 标识：碎片数据的设置，很少使用。DF1 表示不要分片为 0 表示可分片，MF1 表示更多分片为 0 表示没有其它分片，然后就是两者的组和了。以太网 MAC 地址：注意 MAC

14、地址和 IP 地址不能同时设置。I P 地 址：掩码的话上面填 192.168.0.0，下面填 255.255.0.0，表示 192.168.x.x的任意 IP 都符合。端 口：常用端口范围在 XP 系统中指 10245000。拦截传入连接：在数据是 TCP 时，对方要连接本机会先发出请求数据包，如果这里设置拦截，则这种由对方主动先发起的将被拦截。ICMP 、IGMP 代码类型：只在设置协议为 ICMP、IGMP 时才出现。绑 定 程序：设置该规则某个程序访问网络时才启用，设置的程序只能是程序过滤中已有的程序，可设置多个程序，任意一个访问时即启用，所有绑定的程序都未访问网络时此规则转为未启用。

15、停用“ 程序过滤”则绑定了程序的规则都不会启用。只有当程序在 LNS 程序过滤界面“正在访问网络的程序列表”中出现时才表示该程序正在访问网络，同时，无论程序是否退出，只要在此列表中显示有该程序，则绑定了该程序的规则依然启用。其它注意：当为“发出” 时，左边的 MAC、IP、端口都为来源方，一般是本机，右边为目的地址。当为“进入时” ，左边也为来源方，不过此时来源为对方地址，右边是本机。双向时，左边代表本机，右边代表其它地址；范围内包含两个设置值，范围外不包含两个设置值。常见端口的作用：对方端口是 53：用于 DNS 解析，很多时候都需要对方端口是 80、443：访问网页、下载、游戏等常用的端口

16、对方端口是 21：FTP对方端口是 68：获取 IP 地址的端口，本机此时一般使用 67 端口来访问对方的 80。1024 5000 ：常用端口范围。在本机访问 80、443、21 等很多时候，本机使用这个范围内的任意端口来访问对方。当然很多时候对方端口也可能是常用端口范围。如果发现日志中的端口在这个范围内，则基本上制定规则时都选“常用端口范围内”。11023：本机如果使用的是这个范围内的端口，则基本上可以确定本机某个程序固定使用这个端口来工作。IP 地址：应首先了解本机所在网络环境。如果是 ADSL 拨号，则不存在特殊的 IP 地址出现在日志中（127.0.0.1、*.255 除外），在制定

17、规则时，如果一个程序访问网络时日志中只出现一个IP 地址，则可以在制定规则是设置这个 IP 地址，如果 IP 地址很多，不好确定则可以不确定。比如访问网页的规则，不可能只访问一个网页吧？则不确定对方 IP。一个网络游戏，一般服务器都是固定的，则可以确定。如果是路由上网，则需要知道路由器的 IP 地址，例如 192.168.1.1。如果是局网，则需要知道局网范围，例如 192.168.1.x。这在根据日志建立规则时才能有效筛选出需要的日志。一般来说 *.*.*.255 的地址为广播地址，局网范围内所有计算机都会收到。需要判断这个数据包是否是自己需要的。MAC 地址：需要了解的一是自己网卡的 MA

18、C 地址，这个直接设置规则中设置成本机MAC 即会显示，二是需要了解网关的 MAC 地址（一般是路由器的 MAC 地址）。2。创建规则。01）为了方便设置，先停用程序控制，启用网络过滤，删除所有网络过滤的规则，尽量退出需要访问网络的程序。02）网络过滤中，点 “添加 ”，规则名这里写“拦截所有” ，其它都不更改，直接确定。然后设置该规则为启用，拦截，日志。清空日志。03）打开 IE，随便访问个网站，打不开。查看日志。发现很多“U- 拦截所有 ARP FF:FF IP:192.168.1.1 MAC:00:00”的日志出现。右键点击该日志没有创建规则的选项，直接双击查看详细内容，发现为本机来源

19、MAC目的 FF:FF的 ARP 数据包。切换到网络过滤，添加规则：（ARP，本机 MACFF:FF）（图：LNS11-规则 01）再查看日志，发现有来源 MAC 为 00:10:64:C2:04:4D本机 MAC 的 ARP 数据包以及本机 MAC00:10:64:C2:04:4D 的数据包，综合一下就是双向访问，创建规则：（ARP，本机 MAC指定 MAC）（图：LNS12-规则 02）再之后，日志中出现目的 00:10:64:C2:04:4DFF:FF的数据包，同样创建规则即可。如果是 ADSL 拨号用户，不会有产生上述日志，当然就不用制做上述规则，略过。04）再打开 IE 访问网站，还

20、是打不开，查看日志，发现很多 53 端口的日志出现，53 端口用于 DNS 解析，要访问网站需建立该规则，右键点击任意一个 53 端口的日志，建立“允许UDP，对方 53本机” 。“ 允许 UDP 协议，Port 53”的规则即被建立起了，双击该规则编辑。只需稍稍改动使之更精确即可，当然不改也行：（UDP，本机 IP192.168.1.1:53 ）（图：LNS13-规则 03）05）再次打开 IE 访问网站，依然打不开，查日志。发现很多 80 端口的日志，右键点击建立一个“允许 TCP，对方 80 端口”的规则。443 也是常用网页端口，并且本机使用的是常用端口，因此稍稍改下规则：(TCP，本

21、机 IP:常用任何 IP:80、443）（图：LNS14-规则 04）06）再次打开网站，已经可以正常打开了。（图：LNS15-规则 05）07）创建局网共享的规则。共享规则 1：UDP，本机:137 、138局网任何 IP(192.168.1.x):137、138 。共享规则 2：UDP，局网广播(192.168.1.255):137、138局网任何 IP(192.168.1.x):137、138。共享规则 3：TCP ，本机:常用局网任何 IP(192.168.1.x):139、445。如果还需要别人能访问自己的共享，则规则 2 反过来，规则 4：TCP ，本机:139、445 局网任何

22、IP(192.168.1.x):常用。将规则 1、2 合并：UDP ，局网任何 IP(192.168.1.x）:137、138 局网任何IP(192.168.1.x):137、138。制定：（图：LNS16-规则 06）在图例中，共享 2 的局网范围用了掩码方式，当然不用掩码方式也可以。共享 3 进一步限定了局网的计算机 IP 范围，当然指定只个别计算机 IP 地址也可以，这个就看个人情况以及对安全的要求了。但局网共享还需要 ARP 允许，又同时与 ARP 攻击相冲，比较麻烦，等熟悉了规则制定后再考虑。四。RAW 编辑模式安装了 RAW 插件后，可以编辑 RAW 模式规则。（图：LNS17-R

23、AW00）1。RAW 各个选项的作用01）。规则名称、描述、允许、方向、日志都是普通规则的。02）。字段：一条规则可以设置 16 个条件（0 15 字段），这和普通规则设置类型、IP、端口(3 个条件)差不多。每个字段只能检查数据包的一个位置，比如是端口还是 IP 地址。多个字段可以检查相同位置。03 ）。字段偏移量：网络数据大致由 ETH、IP、TCP 三部分构成，设置 RAW 规则时必须设置检查哪个部分。注意这里的 TCP、IP 指的是数据包位置而非普通模式中的类型。04）。入站、出站：就是检查数据包的哪个位置，如果方向为进入，则入站位置输入需要检查 ETH 或 IP 或 TCP 的哪个位

24、置，单位字节，而出站随便输入不影响。方向为两者时必须同时指定入站和出站的检查位置。05）。字段 IP 类型：一般选任意、IPV4 。06）。字段检查标准：即让 LNS 检查例如 ETH 部分，入站 6 字节开始的值是多少或者不是多少的检查方式。07）。值 1、 2、掩码或值 3：这里指定字段检查标准的对照的值。08）。与下一字段的运算符：即满足这个字段条件是否还需要同时满足下一个字段条件，或者只需满足这两个字段条件中的一个即可。09）。字段大小：因偏移量那里只指定了检查开始的位置，由这里指定检查结束位。即从第 10 字节开始，长 4 字节，值 1 是多少。10）。值显示模式：这个设定只是为了方

25、便输入者输入和查看。平时的端口 53，都是指10 进制，而 192.168.1.1 则是十进制字节分隔方式显示的，如果这里选的是 10 进制，则应该输入 3232235777。查看一个已经编辑的规则修改这里的显示方式并不会修改规则。注意：1）当欲输入的值是 IP 地址时，IP 类型应选择 IPV4（除非用的已经是 IPV6 了）。2）欲选择本机 IP、MAC 或不等于本机 IP、MAC 时，应先设置字段大小 4 或 6。3）选择等于或不等于本机 IP、MAC、常用端口时，不能输入值，同时这个字段不能再设置其它多个值了。3 ）选择不等于时，不能用“或”。4） RAW 模式只支持多个条件的“A 与

26、（B 或 C）与 D”，而不支持“（A 与 B）或（C 与D）”。5）当某个中间的字段设置成 NA（即表示删除该字段），保存后其它后面的字段自动靠前。参见附表的数据包结构2。制做 RAW 规则。01）用 RAW 来打开一个普通规则，即使不做任何修改直接保存，也已经是 RAW 规则了。下次双击即会自动用 RAW 插件打开。同时也说明 RAW 和普通规则差不多，但 RAW 可以更多检查某些自定义的值，以及设置多个条件。02）例如，普通规则只能设置 2 个不同的端口，但 RAW 可以设置多个。欲建立一条规则：TCP，本机 IP:常用任何:21、80、443、8080 。（图：LNS18-RAW01）

27、03）用 RAW 打开（选中该规则，编辑按钮旁边有个“”选择 RAW 即可）。（图：LNS19-RAW02）（图：LNS20-RAW03）04）从以上可以看出，在普通规则中设置的条件转换到 RAW 时已经全部自动有设置了。现在只需要增加端口即可：（图：LNS21-RAW04）把字段 4 改成等于值 1 或值 2 或掩码，使之可以多输入一个值，在掩码中填入 443。因为还需要设置一个 8080，它与 21、80 的关系是一样的，因此用“或”。设置字段 5，偏移量（即检查位置）一样。因只需要输入一个值，所以选等于值 1，端口都是 2 字节的，然后在值1 中输入 8080 即可。保存后，规则即编辑完

28、毕。五。从数据包的方式理解 RAW 模式。什么是网络数据？其实就只是一串数字，它们其实如此简单，只要截获这串数字就能知道发送的内容。防火墙正是依靠这个来工作的。例如，在我的机子上发送了这样一串数字讯号出去（这是串真实捕获的一条网络数据，当然为了保密，稍微更改了点内容）：00 10 46 CB CB 5A 00 08 A4 0B 0A 12 08 00 45 00 00 3D 1F 25 00 00 80 11 2E 67 C0 A8 01 9B CB 50 60 0A C2 CD 00 35 00 29 67 C4 66 FC 01 00 00 01 00 00 00 00 00 00 03

29、77 77 77 04 73 69 6E 61 03 63 6F 6D 02 63 6E 00 00 01 00 01按照数据包格式慢慢来把它解剖开，因为排在最前面的肯定是 ETH 头的数据，先把 ETH格式调出来，直接把数字一一填进去即可（00 10 46 CB CB 5A 00 08 A4 0B 0A 12 08 00 45 00）：首先是 ETH 头位置 0 1 2 3 4 5 6 7 8 9 10 11 12 13 名称 目标 MAC 地址 来源 MAC 地址 以太网类型 数据实际数据 001046CBCB5A0008A40B0A12 08 00 OK，稍稍整理一下：目标 MAC 地址

30、：00 10 46 CB CB 5A来源 MAC 地址：00 08 A4 0B 0A 12以太网类型：08 00，将 16 进制翻译成 10 进制为 2048，表示下面的数据是 IP 类型。也就是说我们接下来要把 IP 的数据包结构调出来分析接下来的数据：45 00 00 3D 1F 25 00 00 80 11 2E 67 C0 A8 01 9B CB 50 60 0A C2 CD 00 35 00 29接下来的 IP 头位置 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1718 19 20 21 2223名称版本报头长服务类型数据总长标识号片标志 /偏

31、移生存时间协议类型校验和来源 IP 目标 IP 选项实际数据45 00 00 3D 1F 25 00 00 80 11 2E 67 C0A8019BCB50600AC2CD0035OK，再来整理：版 本：由于只占了 0.5 字节，即前 4 位，将 16 进制的 45 转换成 2 进制为 01000101，即版本是 0100，十进制等于 4，表示是 IPV4 数据。报头 长：0101 5，单位都是“4 字节”，则表示此数据的 IP 头为 5420 字节。那上面的选项就不存在了。服务类型：这些不分析。数据总长：3D61 字节。标识 号：即随机序列号为 1F25。分 片：不用转换都知道 DF 和 M

32、F 位为 0，即可以分片，但没有分片。偏 移：00，表示不是分片数据包。生存时间：80128 秒。协议类型：1117 ，则表示接下来的数据是 UDP 协议。校验 和：这些不分析。来源 IP：C0 A8 01 9B192.168.1.155，这个明显就是我机子的 IP 地址了。目的 IP：CB 50 60 0A203.80.96.10。到目的 IP 结束时就已经 20 字节了（019），由于上面的报头长指定了只有 20 字节，则没有选项。那后面的数据属于 UDP 头的了，调出 UDP 结构图，将 C2 CD 00 35 00 29 67 C4 66 FC 01 00 00 01填进去：UDP 头

33、位置 0 1 2 3 4 5 6 7 8名称 来源端口 目标端口 UDP 总长 校验和 数据实际数据 C2 CD 00 35 00 29 67 C4 来源端口：C2 CD49869目的端口：00 3553，很明显这是一个 DNS 查询数据，我们接下来还可以用 DNS 结构图来分析。UDP 总长：00 2941 字节。校验 和：67 C4。再就是使用 DNS 结构图分析接下来的数据了： 66 FC 01 00 00 01 00 00 00 00 00 00 03 77 77 77 04 73 69 6E 61 03 63 6F 6D 02 63 6E 00 00 01 00 01DNS 数据位置

34、 8 9 10 11 12 13 14 15 16 17 18 19 202 字节2 字节名称标识符请求或应答操作码授权截断希望递归可用递归/RCODE 等查询问题数量资源记录数NSCOUNT ARCOUNT请求域名资源类型查询类别实际数据66 FC 01 00 00 01 00 00 00 00 00 0003 77标识符：66 FC，随机序列号。请求应答：虽然只占 1 位，但这里很明显是 0，即请求，因为是本机发出的 DNS 查询，肯定是请求了。操作 码：0000 标准查询。授 权：0 未要求授权。截 断：0 未截断。希望递归：最后一位为 1，表示希望递归。可用递归：0 无保留 位：000

35、。RCODE ：0000 无错误。问题数量：1，表示只查询 1 条域名。资源记录：0，因为在查询的数据包中此只能为 0。NSCOUNT ：0，同上。ARCOUNT ：0 ，同上。请求域名：这里的数据长度不是固定值，只能依靠数据来计算了（03 77 77 77 04 73 69 6E 61 03 63 6F 6D 02 63 6E 00 00 01 00 01）。1）首先是 03，表示后面是 3 个字符。2）77 77 77，翻译成字符即为 W W W。3）然后是 04，表示后面是 4 个字符。4）73 69 6E 61sina5）然后是 03。6）63 6F 6Dcom7）然后是 02。8）6

36、3 6Ecn9）然后是 00。表示域名结束。综合起来就是：资源类型：00 01，表示主机地址。查询类别：00 01，表示因特网。总结，从捕获的发送出去的数据来看，我的机子发送了一个 DNS 查询的数据出去，查询的地址是新浪网。从防火墙的规则编辑来看，设置的条件（来源目的 MAC、来源目的 IP、来源目的端口），其实就是监视的如上的几个特定位置的数据是否就是我们的设定值。附录：数据包长度：1。数据部分最长可为 65515 字节。2。最大传输单元：以太网协议 Maximum Transfer Unit，即 MTU，1518 字节。帧首部18IP 包首部 20+数据部分 1480。3。最小传输单元：

37、以太网总帧长不能小于 64 字节。如果 IP 包太短，那么后面会添0(Padding)，这时 IP 首部中的包长度 指示了真正的包长。4。X.25：MTU 为 576 字节（ IP 规范 WAN 上的默认 MUT 大小），IP 头 20IP 数据部分552（8 的倍数） 572 字节。因此小于或等于 572 的数据不会被分片。5。模块：规定所有的 Internet 主机在任何情况下必须能接受 476 字节的数据报。规定所有Internet 模块必须能接受 68 字节的数据报（IP 头最长 60 字节和 8 字节数据）。附录：MAC 地址：第 1 字节 第 2 字节 第 3 字节 第 4 字节

38、第 5 字节 第 6 字节b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1b008 0C 06 A2 B3 C10 0 0 0 1 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 1 1 0 1 0 1 0 0 0 1 0 1 0 1 1 0 0 1 1 1 1 0 0 0 0 0 1制造商 ID 扩展 ID（板 ID）由 IEEE 统一分配 由制造商自行分配01。集成在网卡硬件(NIC)中的 MAC 地址是设备的源地址，总是单播地址。02

39、。第一字节 b0（个体组）（I/G）位如果为 0，该 MAC 地址为单播地址，如果为 1，该MAC 地址为组播（多播）地址。03。单播地址的低位 b0 总是 0，所以单播地址第一个字节十六进制总是偶数。多播地址低位b0 总是 1，所以多播地址第一字节总是奇数。04。MAC 源地址可以是全球唯一或局部唯一。第一个字节 b1（全球局部）(G/L)位如果为0，该地址是由 IEEE 统一分配的地址，全球唯一，如果为 1，则为局部地址，表示是自行分配的地址。05。如果 48 位地址全为 1，为广播地址 FF-FF-FF-FF-FF-FF。06。查询 MAC 地址属于哪个厂家：在 IEEE 的网站（htt

40、p:/standards.ieee.org/regauth/oui/index.shtml）上搜索前三位（比如00:0A:EB）07。查询自己网卡的 MAC 地址：CMD 窗口中输入 IPCONFIG/ALL，对应的网卡的 Physical Address 就是网卡 MAC 地址。当目的地址是一个组播 IP 地址时，MAC 地址是特定的：例如当目的地址为组播 IP 地址 224.215.145.230 时，其目的 MAC 地址填写为 01-00-5E-57-91-E6，计算公式如下：224.215.145.230E0-D7-91-E611100000.11010111.10010001.111

41、00110，取后 23 位为 1010111.10010001.1110011057-91-E6，组播 IP 映射到组播 MAC 地址时，前 3 字节强行规定为 01-00-5E，组合后即为 01-00-5E-57-91-E6。01。组播 IP 地址映射到 MAC 地址时，前 24 位必须为 01-00-5E。02。后 23 位使用组播 IP 地址的后 23 位。02。第 25 位必须为 0。因此，组播 IP 映射的 MAC 地址范围只可能是 01-00-5E-00-00-0001-00-5E-7F-FF-FF。附录：数据包结构：7 字节FR同步位用于收发双方的时钟同步，同时也指明了传输的速率

42、，56 位的二进制数 10101 字节SD分隔位 10101011表示下面跟着的是真正的数据,而不是同步时钟ETH 头位置(位)位置(字节) 作用 说明0031001505Destination Address目标 MAC 地址16310031611Source Address来源 MAC 地址 0007 120815 13Length/Ethertype以太网类型 2048=IP、2054=ARP16 Data数据 即 ARP、IP、PPP 等。以太网总长度 641518Byte。数据长度(MTU)一般在 5761500Byte 之间PAD填充位以太网帧数据包不能小于 64 字节，当数据段的

43、数据不足 46 字节时，后面补 04 字节CRC校验 ETH 之后ARP 头 ETH 之后IP 头 ETH 之后PPPOE 头位置(位)xxxxxx位置字节xxxx作用 说明 作用 说明 作用 说明0003Version版本号 4=IPV4Version版本号104070 Header Length包头长度(/4字节)515 Type类型 1080910过滤(不用)11 低时延12 高流量13 高可靠性14 最小代价151类型 1=Ethernet 以太网Type of Service服务类型(TOS)不用Code代码不同会话阶段内容不同1623 22431 3协议 2048=IPTotal

44、Length总长度(/字节) 2465535Session ID会话ID0或获取的 ID0007 4MAC 长度 60815 5IP 长度 4Identification标识号(ID)(每个分片数据包具有相同 ID)Length长度指示数据段长度16 不用17 DF 不分片18Flags片标志MF 更多分片19206 操作码1=Request查询2=Reply回应3=RARP 请Fragment Offset688191分片数据在总数据的Tag 标记类型在PPPOE发现阶段才填Payload数据(净载荷)在PPPOE发现阶段才填充Tag标记，会话阶段2122232431 7求4=RARP 回应

45、分片偏移(/8字节)位置 充Tag标记，会话阶段没有标记类型和长度，填充PPP报文0007 8Time to Live生存时间 0815 9Proctol协议类型1=ICMP;2=IGMP6=TCP;17=UDP长度Tag数据的长度1623 102431 11Header Checksun包头校验和0007 120815 13Source来源 MAC 地址1623 142431 15Source Address来源 IP 地址0007 160815 17Source Address来源 IP 地址1623 18243 19Destination目标 MAC 地Destination Address目标 IP 地址数据不同标记类型所对应的相关数据没有标记类型和长度，填充PPP报文