ip 包如何切片

       在网络世界的每一次信息传递背后，都有一套精密而复杂的规则在默默运作。想象一下，你需要通过邮局寄送一个超大尺寸的包裹，但邮局规定每个包裹都有严格的体积和重量限制。这时，你会自然而然地选择将大包裹拆分成若干个符合规定的小包裹，分别贴上地址和序号，以便收件人能够完整地重新拼合。网络协议数据包在网络中的传输，就面临着极其相似的境遇。当数据量过大，无法一次性通过某些网络链路时，就必须进行“分片”。这并非简单的切割，而是一个涉及协议标准、头部计算和路径管理的系统性工程。理解分片，就是理解互联网如何在异构的网络环境中保证数据完整送达的核心逻辑之一。

       

一、 分片因何而生：最大传输单位的限制

       要理解分片，首先必须认识一个关键概念——最大传输单位。它定义了在特定网络媒介或链路上，一个数据帧所能承载的有效数据的上限。不同的网络技术，其最大传输单位值差异巨大。例如，经典以太网的最大传输单位是1500字节，而某些广域网链路可能只有576字节甚至更小。当一台主机准备发送一个网络协议数据包时，它会参考本地接口的最大传输单位值。如果数据包大小未超过此值，它就可以被直接封装进数据帧并发送。然而，互联网是由众多不同类型的网络连接而成的，数据包从源到目的地的路径上，可能会经过最大传输单位各不相同的多个网络。这就产生了一个根本矛盾：源主机按照自己的最大传输单位发出的数据包，在路径中某个最大传输单位更小的网络节点处，将无法被完整传输。

       

二、 分片的执行者：路由器与端系统

       那么，当数据包遭遇“此路不通”的瓶颈时，由谁来负责分片呢？根据互联网协议的设计，分片操作主要由路径上的路由器来执行。路由器在转发数据包时，会检查其出站接口的最大传输单位。如果待转发数据包的总长度（包含头部和数据）大于该最大传输单位，并且数据包头部中的“禁止分片”标志位未被设置，路由器就会启动分片流程。它将原始数据包的数据部分（即载荷）分割成若干片段，每个片段的大小都小于或等于出站链路的最大传输单位，并为每个新生成的片段创建一个新的协议头部，然后分别发送。值得注意的是，源主机在知晓路径最大传输单位的情况下，也可以进行“路径最大传输单位发现”，并主动发送大小合适的数据包以避免在途中被分片，这被视为一种更优的实践。

       

三、 重组的目的地：最终接收端

       分片之后，各个片段会作为独立的数据包在网络中路由，它们可能经过不同的路径，以不同的顺序到达目的地。将这些离散的片段重新组合成原始数据包的过程，称为“重组”。重组工作严格由最终的目的主机来完成，路径中的路由器不会进行重组。这样做是为了保持路由器的转发效率，避免其陷入繁重的数据重组计算中。因此，确保所有片段都能最终抵达目的地，并由目的主机正确重组，是整个分片机制成功的关键。

       

四、 识别与排序：标识、标志与片偏移字段

       为了实现正确的分片与重组，协议头部中设计了三个至关重要的字段。第一个是“标识”字段。属于同一个原始数据包的所有分片，都共享一个相同的标识值。这个值通常由源主机在发送时生成，类似于给整个包裹分配一个唯一的运单号，所有子包裹都继承这个号码。

       第二个是“标志”字段，其中包含两个与控制分片相关的位。一个是“更多分片”位：如果该位设置为1，表示当前分片不是原始数据包的最后一个分片，后面还有更多分片；如果设置为0，则表示这是最后一个分片。另一个是“禁止分片”位：如果源主机或应用程序希望数据包不被中途分片，可以设置此位为1。当这样的数据包遇到需要分片才能转发的链路时，路由器会将其丢弃，并通常向源端发送一个“需要分片但设置了禁止分片标志”的错误消息。

       第三个是“片偏移”字段。这个字段指明了当前分片所携带的数据，在原始数据包的数据部分中的起始位置（以8字节为单位）。通过标识字段识别“一家人”，通过更多分片标志知道是否还有“兄弟姐妹”未到齐，再通过片偏移字段明确每个片段在“全家福”中的具体座位，目的主机就能有条不紊地完成重组工作。

       

五、 分片的详细计算过程

       分片是一个精确的计算过程。假设一个总长度为4000字节的数据包（其中头部20字节，数据部分3980字节）到达一个路由器，需要从最大传输单位为1500字节的接口转发。路由器首先会计算每个分片所能承载的最大数据量。由于每个分片都需要自己的头部（20字节），因此每个分片的数据部分最大为1500 - 20 = 1480字节。但这里有一个关键约束：片偏移值必须以8字节的整数倍为单位。因此，实际可分片的数据长度必须是8的倍数。1480字节是8的倍数（1480 / 8 = 185），符合要求。

       于是，路由器进行如下操作：第一个分片携带原始数据包中从0到1479字节的数据（共1480字节），其片偏移为0，更多分片标志设为1。第二个分片携带从1480到2959字节的数据（1480字节），片偏移为1480/8=185，更多分片标志为1。第三个分片携带剩余的数据（3980-2960=1020字节），片偏移为2960/8=370，更多分片标志设为0，表示这是最后一片。每个新分片的总长度是其数据长度加上20字节的头部。

       

六、 头部信息的继承与变化

       在创建分片时，新头部的大部分信息是从原始头部继承而来的，例如源地址、目的地址、协议类型等，这保证了分片能被正确路由和递交给上层协议。但有几个字段必须重新计算：“总长度”字段更新为当前分片的总长度；“标志”字段中的“更多分片”位需要按规则设置；“片偏移”字段需设置为当前分片的偏移值；“头部校验和”字段也必须基于新的头部内容重新计算。而“标识”字段则被原封不动地复制到每一个分片，作为它们共同的纽带。

       

七、 重组流程与超时机制

       当目的主机接收到第一个分片（片偏移为0）时，它就会根据标识字段、源地址和目的地址，在内存中启动一个重组缓冲区。随后到达的具有相同标识的分片，会根据其片偏移值被放入缓冲区的正确位置。主机通过检查“更多分片”标志，来判断是否已经收到了最后一个分片。一旦接收到最后一个分片（更多分片标志为0），并且缓冲区中从0到最后一个字节的所有数据都已填满，主机就认为重组完成，将完整的原始数据包传递给上层协议处理。

       为了防止因为某个分片丢失而导致缓冲区被无限期占用，系统会为每个重组任务设置一个计时器。如果在一定时间内（例如常见的60秒或30秒）未能完成重组，系统将丢弃所有已接收到的该数据包的片段，并释放缓冲区资源。这种超时机制是保证系统稳健性的重要设计。

       

八、 分片带来的性能影响与开销

       尽管分片解决了大数据包传输的可行性问题，但它并非没有代价。首先，它增加了处理开销。路由器需要进行分片计算和多个数据包的封装与转发；目的主机需要进行重组计算和缓冲管理。其次，它降低了传输效率。每个分片都需要一个独立的头部，这引入了额外的带宽开销。如果一个4000字节的数据包被分成3片，总头部开销从20字节增加到了60字节。更重要的是，分片增加了数据包丢失的整体风险。在重组过程中，只要丢失任何一个分片，整个原始数据包就无法恢复，导致所有已成功到达的分片也前功尽弃，上层协议（如传输控制协议）最终会触发整个数据包的重传，这极大地影响了传输性能。

       

九、 路径最大传输单位发现：避免分片的智慧

       为了规避分片的负面影响，现代网络广泛采用“路径最大传输单位发现”机制。其核心思想是让源主机主动探测到目的主机的整条路径上，所能通过的最大数据包尺寸是多少。主机首先以一个较大的数据包（通常使用本地接口的最大传输单位）向目的地发送一个探测包，并在其头部设置“禁止分片”标志。如果路径中某条链路的最大传输单位小于这个探测包，该链路的路由器就会丢弃它，并向源主机发送一个错误消息，其中包含了该链路所支持的最大传输单位。源主机根据这个信息，减小后续数据包的大小，并再次尝试，直到找到合适的尺寸。通过这种方式，源主机可以主动适配路径的“最窄处”，从而避免数据包在传输途中被分片，提升了端到端的传输效率与可靠性。

       

十、 分片在现代网络中的挑战与困境

       随着网络安全技术的演进，分片机制遇到了新的挑战。许多防火墙、入侵检测系统或深度包检测设备，为了分析数据包的内容以实施安全策略，需要检查传输层甚至应用层的头部信息。然而，如果一个数据包被分片，这些关键信息可能只存在于第一个分片（片偏移为0）中。后续的分片在到达时，安全设备由于没有上下文信息，难以做出正确的过滤或检查决策。这导致一些安全策略会选择简单地丢弃所有非首片的分片，或者直接拒绝处理任何被分片的数据包，从而可能造成通信失败。这种安全性与协议兼容性之间的张力，是网络管理员需要谨慎权衡的问题。

       

十一、 下一代互联网协议对分片的改进

       在下一代互联网协议中，分片的设计理念发生了根本性的变化。协议明确将分片的职责从路由器转移给了源主机。在协议规范中，路由器不再对转发的数据包进行分片。如果数据包太大，路由器将直接丢弃它，并向源主机发送一个“数据包过大”的消息，告知其路径的最大传输单位。这意味着，分片（如果需要）必须在通信的起始端完成。这一设计简化了路由器的处理逻辑，使其专注于高速转发，同时也使得“路径最大传输单位发现”成为了一个必选项而非可选项，从整体上鼓励了避免分片的最佳实践，使网络行为更加可预测和高效。

       

十二、 分片与网络诊断工具

       理解分片对于网络故障排查也至关重要。像ping和traceroute这样的常用诊断工具，都允许用户指定发送数据包的大小。通过故意发送一个大于路径最大传输单位的数据包并设置“禁止分片”标志，可以用于探测路径上的最小最大传输单位，或者测试路由器是否会正确返回错误消息。分析这些工具的返回结果，能够帮助网络工程师定位由分片问题引起的性能瓶颈或连通性故障。

       

十三、 应用层设计的最佳实践

       从应用程序开发者的角度来看，明智的做法是在设计通信协议时，就有意识地避免触发底层分片。例如，可以将应用层消息的大小控制在合理范围内，通常建议小于或等于1500字节减去网络层和传输层头部后的尺寸。对于必须传输的大数据，应在应用层实现自己的分段与重组逻辑，这比依赖底层网络的分片更为可靠和可控。许多成熟的传输协议和文件传输工具内部都实现了这样的机制。

       

十四、 分片与网络地址转换的交互

       在网络地址转换环境中，分片会带来额外的复杂性。网络地址转换设备需要修改数据包的地址和端口信息。对于分片数据包，只有第一个分片包含了完整的传输层头部（如用户数据报协议或传输控制协议头部），后续分片通常只包含网络层头部。这意味着网络地址转换设备必须能够根据第一个分片建立转换表项，并记住该关联，以便正确地修改后续分片的网络层头部信息。如果分片以非顺序到达，或者第一个分片丢失，就可能导致网络地址转换处理失败，从而影响通信。

       

十五、 分片攻击与安全防护

       分片机制在历史上也曾被用于发起拒绝服务攻击或规避安全检测。例如，“泪滴攻击”就是通过发送一系列精心构造的、片偏移相互重叠的分片，导致目的主机在重组时发生混乱，进而可能引发系统崩溃或重启。现代操作系统已经修补了此类漏洞。另一种攻击方式是发送大量不完整的碎片，耗尽目的主机的重组缓冲区资源。为了防护此类威胁，网络边界设备通常会配置分片包过滤策略，例如限制每秒接收的分片数量，或要求分片必须在很短时间内完成重组。

       

十六、 总结：分片技术的权衡与演进

       回顾网络协议数据包分片技术的来龙去脉，我们可以看到其本质是网络协议设计者在灵活性、效率与可靠性之间所做的精巧权衡。它是在异构网络互联的早期背景下，为保证通用连接性而设计的一种有效但代价较高的解决方案。随着网络技术的发展和最佳实践的普及，尤其是路径最大传输单位发现机制的广泛应用，分片正逐渐从一种常见的传输行为，转变为一种需要尽量避免的“不得已而为之”的后备方案。下一代互联网协议的设计更是将这一理念固化，明确了端到端的原则。对于网络从业者而言，深入理解分片，不仅是为了读懂数据包捕获文件中的每一个字段，更是为了能够设计出更健壮的网络架构，配置出更高效安全的策略，从而驾驭好数据洪流时代的每一次通信。

       从最初为解决物理差异而生的权宜之计，到如今成为考量网络性能与安全的关键因素，分片技术的故事折射出互联网协议栈持续演进的内在逻辑。它提醒我们，在网络通信中，看似简单的“拆分”与“合并”动作，背后是严谨的数学计算、精巧的状态管理和对复杂环境的深刻洞察。在追求更高速度、更低延迟的未来网络之路上，如何更优雅地处理数据单元的尺寸问题，仍将是一个值得持续关注的基础课题。