一、为什么需要理解TCP/IP协议栈?
当你在浏览器输入 www.baidu.com 后,发生了什么?
- 你的电脑通过 ARP 找到网关的MAC地址
- 通过 IP协议 确定目标服务器的地址
- 通过 TCP/UDP 建立连接传输数据
- 通过 ICMP 处理网络诊断
TCP/IP协议栈就是互联网的"交通规则"!
作为数通工程师,必须掌握这些协议的本质区别。
二、TCP/IP协议栈分层模型
(对比OSI模型,突出重点)
层级 | 主要协议 | 核心功能 |
应用层 | HTTP/FTP/DNS/SMTP | 提供用户接口(如网页浏览) |
传输层 | TCP / UDP | 端到端通信(可靠/快速传输) |
网络层 | IP / ICMP / ARP | 路由与寻址 |
数据链路层 | Ethernet/PPP | 物理传输与差错检测 |
物理层 | 光纤/双绞线 | 比特流传输 |
重点提示:TCP/IP是实际使用的模型,比OSI更简洁(只有4层)
三、核心协议逐一对比
1. 传输层协议对比:TCP vs UDP
特性 | TCP (Transmission Control Protocol) | UDP (User Datagram Protocol) |
连接方式 | 面向连接(三次握手) | 无连接 |
可靠性 | 可靠(确认/重传/排序) | 不可靠(尽力而为) |
首部开销 | 较大(20-60字节) | 极小(8字节) |
典型应用 | HTTP/HTTPS/FTP/SSH | DNS/视频流/在线游戏 |
头部字段 | 源/目的端口、序列号、确认号、窗口大小 | 源/目的端口、长度、校验和 |
关键区别:
- TCP像"挂号信"(确保送达)
- UDP像"平信"(更快但不保证到达)
面试必考题:
Q: 为什么DNS用UDP而不用TCP?
A: 因为DNS查询通常很小(<512字节),UDP更快;但现代DNS也支持TCP用于大数据量查询。
2. 网络层协议对比:IP vs ICMP vs ARP
协议 | IP (Internet Protocol) | ICMP (Internet Control Message Protocol) | ARP (Address Resolution Protocol) |
功能 | 逻辑寻址与路由 | 网络诊断(ping/traceroute) | MAC地址解析 |
是否跨网段 | 是 | 是 | 仅限本地局域网 |
报文类型 | IPv4/IPv6 | Echo Request/Reply、Time Exceeded | ARP Request/Reply |
关键字段 | 版本、头部长度、TTL、协议类型 | 类型、代码、校验和 | 目标IP地址、发送方MAC |
典型工具 | ping/traceroute(底层依赖IP) | ping、tracert | arp -a(查看缓存) |
关键区别:
- IP是"导航地图"(决定数据包去哪)
- ICMP是"导航语音"(告诉你哪里错了)
- ARP是"门牌转换器"(IP→MAC)
3. 经典协议交互过程演示
场景:访问网站的全过程
- ARP阶段:
电脑先通过ARP广播找到默认网关的MAC地址
命令:arp -a(Windows)或 arp -n(Linux)
- IP阶段:
通过DNS解析域名得到目标IP(如 14.119.104.254)
IP头部封装源/目的IP地址
- 传输层:
浏览器用TCP 80端口发起连接(三次握手)
或DNS查询用UDP 53端口
- 数据链路层:
以太网帧封装MAC地址
添加CRC校验
四、协议选择指南
场景 | 推荐协议 | 原因 |
视频会议(Zoom/Teams) | UDP + QUIC | 低延迟,允许少量丢包 |
文件传输(FTP) | TCP | 必须保证文件完整性 |
网络诊断(ping) | ICMP | 快速探测连通性 |
局域网设备发现 | ARP + mDNS | 解析本地设备IP/MAC |
VoIP电话(Skype) | UDP(可选SIP over TCP) | 实时性优先 |
五、实战技巧:抓包分析协议
(以Wireshark为例)
- 过滤TCP流量:
tcp.port == 80 or tcp.port == 443
- 观察三次握手:
SYN → SYN-ACK → ACK
标志位:[SYN] [SYN, ACK] [ACK]
- 分析ICMP报文:
类型8(Echo Request)
类型0(Echo Reply)
- 查看ARP请求:
操作码1(Request)
操作码2(Reply)