实验四：以太网帧结构

《计算机网络实验》实验报告
学院_____ 管理学院________
专业______电子商务________
年级班别_____ 13（1）________
学号___3113004765_________
学生姓名_____杨光晶___________
指导教师_____黄益民___________
成绩______________________
广东工业大学
__________学院_______________专业________班
学号_________姓名_______________ 教师评定_______
实验题目实验四利用WireShark观察以太网MAC帧一、实验目的
1．学习如何利用协议分析工具对网络数据包进行分析。

了解网络数据包的组成，直观感受协议分层及各层协议数据单元的格式及相应关系。

2．学会利用Wireshark抓包，并对抓取到的包进行分析。

重点观察以太网Ethernet II 帧结构，通过分析截获的以太网帧，分析其帧头中的各字段内容，了解MAC地址在以太网帧传输中的作用。

二、实验内容
学习协议分析工具Wireshark的基本使用方法；
利用Wireshark进行以太网数据帧的抓取；
对抓取到的帧进行分析，体会数据链路层帧的发送过程。

三、实验工具
PC机，Windows，WireShark软件
四、实验步骤与分析
利用Wireshark监听arp包，分析其以太网帧中的MAC地址。

通过分析监听到的包，分析本机MAC地址与下一个结点的MAC地址。

试验一以太网帧的构成
练习一
帧类型发送序号N（S）接受序号N（R）Information ....00.. 000.....
Unnumbered 没有没有
简述“类型和长度”字段的两种含义。

答：这个字段值大于0x0600时（十进制的1536），就表示“类型”，只有当这个字段值小于0x0600时才表示“长度”，即MAC帧的数据部分长度
练习二
简述FFFFFF-FFFFFF作为目的MAC地址的作用。

答：以广播的形式向整个网络发送MAC帧
练习四
本机MAC地址源MAC地址目的MAC地址是否收到，
为什么
主机B000D87-DF7A8E000D87-DF9BB1000D87-DF997C收到
主机D收到
主机E收不到
主机F 收不到
A向C发送MAC帧，A——>共享模块——>交换模块——>共享模块——>C 【思考问题】
1．为什么IEEE802标准将数据链路层分割为MAC子层和LLC子层？
I EEE802参考模型将数据链路层划分为两个子层，媒体访问控制MAC 子层和逻辑链路控制LLC 子层。

MAC 子层与物理层相关联，而LLC子层则完全独立出来，为高层提供服务，这样就实现了物理层和数据链路层的完全独立，解决了l SO制定的计算机网络7 层参考模型（即OSI模型）中局域网物理层和数据链路层不能完全独立的问题。

2．为什么以太网有最短帧长度的要求？
以太网把争用期定为51.2us ，对于10Mb/s的以太网，在争用期内可以发送512bit，即64字节。

以太网在发送数据时，如果帧的前64字节没有发生冲突，那么后续的数据就不会发生冲突。

所以最短有效帧长为64字节。

实验二、以太网帧的构成一、实验目的：掌握以太网的报文格式、MAC地址的作用、MAC广播地址的作用。

二、实验学时：建议2学时三、实验类型：验证性实验四、实验原理：1、两种不同的MAC帧格式常用的以太网MAC帧格式有两种标准，一种是DIX Ethernet V2标准；另一种是IEEE的802.3标准。

目前MAC帧最常用的是以太网V2的格式。

下图画出了两种不同的MAC帧格式。

2、MAC层的硬件地址在局域网中，硬件地址又称物理地址或MAC地址，它是数据帧在MAC层传输的一个非常重要的标识符。

网卡从网络上收到一个 MAC 帧后，首先检查其MAC 地址，如果是发往本站的帧就收下；否则就将此帧丢弃。

这里“发往本站的帧”包括以下三种帧：● 单播（unicast）帧（一对一），即一个站点发送给另一个站点的帧。

● 广播（broadcast）帧（一对全体），即发送给所有站点的帧(全1地址)。

● 多播（multicast）帧（一对多），即发送给一部分站点的帧。

五、网络结构该实验采用网络结构一。

说明：IP地址分配规则为主机使用原有IP，保证所有主机在同一网段内。

六、实验步骤按照拓扑结构图连接网络，使用拓扑验证检查连接的正确性。

1、编辑并发送LLC帧将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组。

现仅以主机A和B为例，说明实验步骤。

（1）主机A启动仿真编辑器，并编写一个LLC帧。

● 目的MAC地址：主机B的MAC地址。

● 源MAC地址：主机A的MAC地址。

● 协议类型和数据长度：可以填写001F。

● 控制字段：填写02。

● 用户定义数据/数据字段： AAAAAAABBBBBBBCCCCCCCDDDDDDD。

（2）主机B开始捕获数据。

（3）主机A发送编辑好的LLC帧。

（4）主机B停止捕获数据，在捕获到的数据中查找主机A所发送的LLC帧，分析该帧内容。

并记录实验结果。

帧类型发送序号N（S）接受序号N（R）回答问题：简述“协议类型和数据长度”字段的两种含义。

TCP/IP协议抓包分析实验学号:05姓名：张辛楠一、实验目的了解以太网的几种帧格式学会使用Ethereal抓取数据包并分析根据所获数据包分析EthernetⅡ标准规定的以太网帧结构二、实验环境联网的笔记本一台；主机操作系统为WIN7；Ethereal等软件。

三、实验类型实践性实验。

四、实验内容通过对抓到的包进行分析，分析和验证TCP/IP协议，初步了解TCP/IP的主要协议和协议的层次结构。

五、实验原理目前以太网帧格式主要有两个标准：EthernetⅡ和IEEE 。

Eth ernetⅡ是最常见的一种以太网格式，也是今天以太网的事实标准。

EthernetⅡ的帧头结构为6字节的源地址+6字节的目标地址+2字节的协议类型字段+数据+4字节的校验位。

EthernetⅡ标准的以太网帧格式如下：目标MAC地址源MAC地址类型数据FCS 6字节6字节2字节46—1500字节4字节常见的协议类型如下：080008068137809bIP ARP Novell IPX Apple Talk六、实验步骤1、运行Ethereal，安装Ethereal协议分析程序。

2、运行协议分析软件Ethereal，打开捕获窗口进行数据捕获。

3、抓包，进行帧格式分析。

七、实验结果与分析TCP包版本号：IPV4 头长度：20bytes服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度:48标识：0x6c32(27698) 标志：0x02 片偏移：0生存时间：49 上层协议标识：TCP（0x06）头部校验和：0x94f0[correct] 源IP地址：目标IP地址：版本号：IPV4 头长度：20bytes 服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度：64标识：0x6c3e(27710) 标志：0x00 片偏移：0生存时间：1 上层协议标识：UDP（0x11）头部校验和：0x0000[incorrect,should be 0x5eda(maybe caused by “IP checksumoffload”)]源IP地址：目标IP地址：。

以太网帧格式分析实验报告以太网帧格式分析实验报告一、实验目的本次实验旨在通过对以太网帧格式的分析，深入了解以太网的工作原理和数据传输过程，掌握以太网帧的基本结构和各个字段的含义，为今后的网络协议分析和网络编程打下坚实的基础。

二、实验原理以太网是一种局域网协议，采用广播方式进行数据传输。

在以太网中，数据传输的基本单位是帧。

以太网帧由一系列字段组成，包括前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等。

通过对这些字段的分析，可以了解以太网帧的传输过程和数据结构。

三、实验步骤1.搭建实验环境：在本次实验中，我们使用Wireshark软件捕获网络数据包，并对捕获到的以太网帧进行分析。

首先，我们需要将计算机连接到局域网中，并确保Wireshark软件已经正确安装和运行。

2.数据包捕获：打开Wireshark软件，选择正确的网络接口，开始捕获数据包。

在捕获过程中，我们可以设置过滤器，只捕获以太网帧。

3.数据分析：在捕获到数据包后，我们可以对以太网帧进行分析。

首先，我们可以查看以太网帧的基本信息，如源MAC地址、目的MAC地址、类型/长度等。

然后，我们可以深入了解各个字段的含义和作用。

4.数据统计：在数据分析的基础上，我们可以对捕获到的以太网帧进行统计和分析。

例如，我们可以统计不同类型以太网帧的数量和比例，分析网络流量的特点和规律。

5.实验总结：根据实验结果和分析，对以太网帧格式进行深入理解和掌握，总结实验经验和收获。

四、实验结果与分析在本次实验中，我们捕获了大量的以太网帧，并对这些帧进行了详细的分析。

以下是我们对实验结果的分析和总结：1.以太网帧的基本结构：以太网帧由前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等字段组成。

其中，前导码和帧起始定界符用于同步和标识帧的开始；目的MAC地址和源MAC地址分别表示接收方和发送方的MAC地址；类型/长度字段用于标识上层协议的类型或数据的长度；数据字段包含实际传输的数据；帧校验序列用于校验数据的正确性。

以太网帧构成实验报告在开始实验之前，我们先进行了小组电脑的连通性测试，我是B号电脑，各小组成员的IP地址如下：
A:172.16.0.217
B:172.16.0.230
C:172.16.0.229
D:172.16.0.180
E:172.16.0.219
F:172.16.0.211
第1题：
A ping B
结果显示A的MAC地址为ECA86B-C53961
这是多次重复实验的结果，刚开始的几次实验，MAC地址显示结果并不一样
原因还在分析之中，由于时间紧迫，我们并没能解决这个问题
为了进行接下来的实验验证，我们后来两两配对互相ping实验，得到了各自的MAC 地址，成功验证了实验结果
第2题：
第3题：
这一题我们也进行了两次实验，第一次实验的时候我们并没能在捕获的ICMP中发现E发送给F的消息，我们决定再做一次实验，结果却发现我们仍然没有收到有关的消息。

求助老师后得知这次的实验结果需要在协议解析中查看，而不是会话分析，于是，在对话框中下拉了许久之后，我们找到了那一条FFFFFF-FFFFFF的消息，实验成功！
附录：
第1题：
第2题：
第3题：。

常见以太网帧结构详解以太网是一个常用的局域网技术，其数据传输是以帧的形式进行的。

以太网帧是以太网数据传输的基本单位，通过帧头、帧数据和帧尾等部分来描述有效载荷的数据。

以太网帧的结构如下：1. 帧前同步码（Preamble）：以太网帧的开始部分有7个字节的帧前同步码，其作用是为接收端提供定时的参考，帮助接收端进行帧同步。

2.帧起始界定符（SFD）：帧前同步码之后的1字节帧起始界定符为0x55，标志着以太网帧的开始。

3. 目标MAC地址（Destination MAC Address）：目标MAC地址占6个字节，表示帧的接收者的MAC地址。

4. 源MAC地址（Source MAC Address）：源MAC地址占6个字节，表示帧的发送者的MAC地址。

5. 长度/类型字段（Length/Type Field）：长度/类型字段占2个字节，当该字段的值小于等于1500时，表示以太网帧的长度；当该字段大于等于1536时，表示该字段定义了帧中的协议类型。

6. 帧数据（Data）：帧数据部分是以太网帧的有效载荷，其长度为46到1500字节，不包括帧头和帧尾。

7. 帧校验序列（Frame Check Sequence，FCS）：帧校验序列占4个字节，主要用于对帧进行错误检测，以保证数据的可靠性。

8. 帧尾（Frame Check Sequence，FCS）：帧尾占4个字节，用于标识以太网帧的结束。

以太网帧的长度为64到1518字节，其中有效载荷部分数据长度为46到1500字节，不同帧的长度可以根据网络需求进行调整。

在发送以太网帧时，发送方会在帧尾的后面添加额外的字节以保证整个帧的长度达到最低限制。

这些额外的字节即填充字节（Padding），用于使帧长达到最小限制的要求。

以上是以太网帧的常见结构，它描述了以太网帧的各个部分的作用和位置。

了解以太网帧的结构对于理解以太网的工作原理和网络通信非常重要。

实验课程名称计算机网络技术基础实验项目名称分析以太网数据帧的构成年级 08专业电子信息科学与技术学生姓名郎子龙学号 080712110069理学院实验时间：2010年 4 月 27 日实验三分析以太网数据帧的构成一、实验目的掌握以太网帧的构成，了解各个字段的含义；掌握网络协议分析软件的基本使用方法；掌握常用网络管理命令的使用方法。

二、实验原理数据链路层将不可靠的物理层转变为一条无差错的链路，涉及的数据单位是帧（frame），高层的协议数据被封装在以太网帧的数据字段发送。

使用网络协议分析软件可以捕获各种协议数据包，通过查看这些协议数据包中数据链路帧的各字段可以分析网络协议的内部机制。

三、实验内容及步骤1、打开网络协议分析软件(Wireshark)，成功运行后的界面如下：分析：Wireshark是一款免费的网络协议分析程序，支持Unix和Windows系统。

借助于这个程序，既可以直接从网络上抓取数据进行分析，也可以对有其他嗅探器抓取后保存在硬盘上的数据进行分析。

2、再上面出现的菜单中选择命令“Capture”—“Interfaces…”子菜单，并弹出了如下对话框：分析：此对话框列出了本计算机中的网络适配器，由上图可知本计算机可适用的适配器的IP地址为192.168.0.47。

“Start”是开始捕获网络数据包按钮，“Options”是可以在经过详细设置后开始捕获网络数据包的按钮，“Details”是查看对应适配器的详细信息的按钮。

3、单击“Options”按钮，弹出如下对话框：分析：次对话框列出了当前可用适配器、本地计算机IP地址、数据捕获缓冲区大小、是否采用混杂模式等配置参数。

4、单击“Start”按钮，网络数据包捕获开始，出现如下界面：分析：出现的这个界面是活动的，在出现这个界面后，不许对这个个界面做什么，直接进行下一个“Ping”命令的操作。

5、在打开的“命令提示符”窗口中使用“Ping”命令测试本机与网关的的连通性：分析：由于在使用“Ping”命令测试本机与网关的的连通性时，本计算机发送了四个ICMP数据包，相应的会得到四个从网关发送回来的应答的报文，因此网络协议分析软件捕获的是八个报文。

实验一以太网帧的构成一．实验目的1.掌握以太网的报文格式2. 掌握MAC地址的作用3. 掌握MAC广播地址的作用4. 掌握LLC帧报文格式5. 掌握仿真编辑器和协议分析器的使用方法二.实验原理:1、两种不同的MAC帧格式常用的以太网MAC帧格式有两种标准，一种是DIX Ethernet V2标准；另一种是IEEE的802.3标准。

目前MAC帧最常用的是以太网V2的格式。

2、MAC层的硬件地址1.在局域网中，硬件地址又称物理地址或MAC地址，它是数据帧在MAC层传输的一个非常重要的标识符。

2.网卡从网络上收到一个 MAC 帧后，首先检查其MAC 地址，如果是发往本站的帧就收下；否则就将此帧丢弃。

这里“发往本站的帧”包括以下三种帧：单播(unicast)帧（一对一），即一个站点发送给另一个站点的帧。

广播(broadcast)帧（一对全体），即发送给所有站点的帧(全1地址)。

多播(multicast)帧（一对多），即发送给一部分站点的帧。

三．实验内容:MAC广播帧实验操作步骤：一、试验网络拓扑验证1.验证结果E、F无法连接，故只对ABCD进行实验仿真编辑器。

2.主机D启动仿真编辑器。

3.主机D编辑一个MAC帧：目的MAC地址：FFFFFF-FFFFFF。

源MAC地址：主机D的MAC地址。

协议类型或数据长度：0x0601。

数据字段：编辑长度在46—1500字节之间的数据。

4.主机A、B、C启动协议分析器，打开捕获窗口进行数据捕获并设置过滤条件（源MAC地址为主机D的MAC地址）。

4.主机D发送已编辑好的数据帧。

5.主机A、B、C、上停止捕获数据，察看捕获到的数据中是否含有主机D所发送的数据帧。

主机ABC捕捉图思考：结合练习二的实验结果，简述FFFFFF-FFFFFF作为目的MAC地址的作用。

答：以 FFFFFF-FFFFFF 作为目的 MAC 地址时，发送数据的主机所发送数据被所有在此局域网上的主机接收，也就是这个地址代表所有局域网内其他主机的MAC 地址，使发送数据主机以广播方式发送数据。

以太网的帧结构要讲帧结构，就要说一说OSI七层参考模型。

一个是访问服务点，每一层都对上层提供访问服务点（SAP），或者我们可以说，每一层的头里面都有一个字段来区分上层协议。

比如说传输层对应上层的访问服务点就是端口号，比如说23端口是telnet，80端口是http。

IP层的SAP是什么？其实就是protocol字段，17表示上层是UDP，6是TCP,89是OSPF，88是EGIRP,1是ICMP 等等。

以太网对应上层的SAP是什么呢？就是这个type或length。

比如 0800表示上层是IP，0806表示上层是ARP。

我第二个要了解的就是对等层通讯，对等层通讯比较好理解，发送端某一层的封装，接收端要同一层才能解封装。

我们再来看看帧结构，以太网发送方式是一个帧一个帧发送的，帧与帧之间需要间隙。

这个叫帧间隙IFG—InterFrame GapIFG长度是96bit。

当然还可能有Idle时间。

以太网的帧是从目的MAC地址到FCS,事实上以太网帧的前面还有preamble，我们把它叫做先导字段。

作用是用来同步的，当接受端收到 preamble，就知道以太网帧就要来了。

preamble 有8个字节前面7个字节是10101010也就是16进制的AA，最后一个字节是 10101011,也就是AB，当接受端接受到连续的两个高电平，就知道接着来的就是D_mac。

所以最后一个字节AB我们也叫他SFD（帧开始标示符）。

所以在以太网传输过程中，即使没有idle，也就是连续传输，也有20个字节的间隔。

对于大量64字节数据来说，效率也就显得不1s = 1,000ms=1,000,000us以太网帧最小为64byte（512bit）10M以太网的slot time ＝512×0.1 = 51.2us100M以太网的slot time = 512×0.01 = 5.12us以太网的理论帧速率：Packet/second=1second/(IFG+PreambleTime+FrameTime)10M以太网：IFG time=96x0.1=9.6us100M以太网：IFG time=96x0.01=0.96us以太网发送方式是一个帧一个帧发送的，帧与帧之间需要间隙。

以太网帧的构成通信1201 11212101114 卢超实验运行结果为：捕获源MAC地址为：00-0f-e2-cc-d0-f9 的帧进行分析：由上图可见，其目的MAC地址为：01-00-5e-40-98-8f，上层协议是UDP。

对思考题的回答：（1）我的计算机主机的MAC地址是（见图），它是一个本地管理的MAC地址。

以太网：80-c1-6e-4d-eb-9d无限网卡：c0-18-85-27-b2-32（2）以太网帧中的目的MAC地址是：０１－００－５ｅ－４０－９８－８ｆ。

这个地址并非目的主机的MAC地址，它是下一跳的MAC地址。

（3）两个字节的帧类型字段的十六进制值是：０ｘ０８００它意味着，上层采用的是IP协议，封装的是IP数据报，需要把MAC帧的数据部分交付给IP协议栈处理。

（４）以太网帧的CRC（checksum）的值为：０ｘ４ｆ２ｄ．地址解析协议ARP协议实验1.查看地址转换表：2.通过ping命令，增加地址转换表记录（1.）ping本子网的主机地址，结果为ping过以后的地址转换记录：（2）ping外网，如百度（202.108.22.5）的结果：ping过以后的arp映射表：3.使用s参数及d参数增加和删除地址转换表记录：可能是系统设置问题，我的PC没有成功，具体如下：4.对思考题的回答：（1）ping本子网的主机地址后，地址转换表会自动记录下IP与MAC的映射关系；Ping外网的站点后，地址转换表并没有记录下IP与MAC的映射关系。

（２）ＡＲＰ协议广播的范围：ＩＣＭＰ协议实验１.测试本机网卡的连通性，执行ｐｉｎｇ１２７．０．０．１命令：可见网卡本身已经连通。

２.启动wireshark软件捕获数据报：３.ｐｉｎｇ新浪ｎｅｗｓ．ｓｉｎａ．ｃｏｍ．ｃｎ，同时捕获数据报。

捕获的数据报为：（协议筛选为ＩＣＭＰ）：其中一个一个ICMP数据报文的request:对应的reply为：对思考题的回答：（1）我的主机的IP地址是58.63.236.41，目的主机的IP地址是10.120.106.10（2）发送的ping请求ICMP报文的头部的类型字段是flags：0x00,编码字段是Identification:0xe3df,校验和checksum为0x66f7,是两个字节。

实验报告实验名称以太网帧分层结构分析队别姓名学号实验日期2015.3.15实验报告要求：1.实验目的 2.实验要求 3.实验环境 4.实验作业5.问题及解决6.思考问题7.实验体会【实验目的】1．复习Wireshark抓包工具的使用及数据包分析方法。

2．通过分析以太网帧了解以太网数据包传输原理。

【实验要求】用Wireshark1.4.9截包，分析数据包。

观察以太网帧，Ping同学的IP地址，得到自己和同学的mac地址。

观察以太网广播地址，观察ARP请求的帧中目标mac地址的格式。

用ping-l指定数据包长度，观察最小帧长和最大帧长。

观察封装IP和ARP的帧中的类型字段。

【实验环境】用以太网交换机连接起来的windows 7操作系统的计算机，通过802.1x方式接入Internet。

【实验中出现问题及解决方法】1．在使用命令行“ping -l 0 IP”观察最小帧长时抓到了长度为42字节的帧，与理论上最小帧长64字节相差甚远。

通过询问教员和简单的分析，知道了缺少字节的原因是当Wireshark抓到这个ping请求包时，物理层还没有将填充（Trailer）字符加到数据段后面，也没有算出最后4字节的校验和序列，导致出现最小42字节的“半成品”帧。

可以通过网卡的设置将这个过程提前。

2．在做ping同学主机的实验中，发现抓到的所有ping请求帧中IP数据部分的头校验和都是错误的。

原本以为错误的原因与上一个问题有关，即校验和错误是因为物理层还没有将填充字符加到数据段后面。

但是这个想法很快被证明是错误的，因为在观察最大帧长时，不需要填充字符的帧也有同样的错误。

一个有趣的现象是，封装在更里层的ICMP数据包的校验和都是正确的。

这就表明IP层的头校验和错误并没有影响正常通信。

进一步观察发现，这些出错的头校验和的值都是0x0000，这显然不是偶然的错误。

虽然目前还没有得到权威的答案，但是可以推测，可能是这一项校验实际上并没有被启用。

网络抓包分析实验-以太网帧-ARP一：实验目的：1.学习使用网络数据抓包软件，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII 类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

以太网帧格式分析实验报告【摘要】本实验主要对以太网帧格式进行了详细分析和实验验证。

首先，我们了解了以太网帧的基本概念和结构，并学习了以太网帧在网络中的传输过程。

然后，我们通过Wireshark工具对以太网帧进行捕获和分析，并对实验结果进行了解读。

最后，我们总结了实验过程中遇到的问题和经验教训，并对以太网帧格式进行了简要评价。

【关键词】以太网帧格式，Wireshark，捕获，分析一、引言以太网是目前最常用的局域网传输技术，而以太网帧则是以太网传输过程中的基本单位。

以太网帧格式的正确理解对于网络工程师来说非常重要。

本实验的目的是通过对以太网帧格式的分析和实验验证，加深对以太网帧的理解和应用能力。

二、以太网帧结构以太网帧是由头部（header）、数据（data）和尾部（trailer）三部分组成的。

头部包含了目的MAC地址、源MAC地址、帧类型等信息；数据部分是要传输的数据内容；尾部则包括了帧校验序列等信息。

三、以太网帧的传输过程以太网帧的传输是通过物理层和数据链路层进行的。

当数据从网络层传输到数据链路层时，会被封装成以太网帧的格式。

然后，以太网帧通过物理层的传输介质（如电缆）进行传输。

接收端收到以太网帧后，会解析帧头部来获取目的MAC地址，并将帧传输到上层。

四、Wireshark工具的使用Wireshark是一个常用的网络抓包工具，可以捕获网络中的数据包，并对数据包进行分析。

在本实验中，我们使用Wireshark来捕获和分析以太网帧。

五、实验步骤与结果1. 打开Wireshark并选择网络接口；2. 开始启动网络通信，在Wireshark中捕获数据包；3.分析捕获到的数据包，查看其中的以太网帧信息，如目的MAC地址、源MAC地址、帧类型等。

通过实验，我们成功捕获了多个以太网帧，并对其进行了分析。

我们发现，捕获到的以太网帧中的帧头部包含了各种重要信息，如源MAC地址、目的MAC地址、帧类型等。

这些信息对于实现正确的数据传输非常重要。

以太网的帧结构分两种：第一种是Ethernet_II的帧结构，如下图所示：| DMAC(6byte) | SMAC(6byte) | Type(2byte) | Data(46~1500byte) | CRC(4byte) |DMAC：指（destination mac）目的地址，即是接收信息设备的物理地址。

SMAC：指（source MAC）源地址，即是发送信息设备的物理地址。

Type：用来标识data字段中包含的高层协议，即是通告接收信息的设备如何解释该数据字段（数据的封装都是从应用层到低层逐渐添加的，在数据链路层以上的数据都封装在了data字段中）。

其中：（1）IP协议帧该字段为0800（2）ARP协议帧该字段为0806（3）RARP协议帧该字段为0835（4）IPX和SPX协议帧该字段为8137。

Data：数据字段，上层下到本层的数据都被包含到了这里面。

前面讲到，它必须大于46字节，但必须小于1500字节。

CRC：（Cyclic Redundancy CHeck）即是循环冗余校验字段。

发送数据的设备会提供一个包含MAC字段、Type字段、Data字段的CRC码，然后计算出CRC 码填入到该处，起到错误检测控制的功能。

第二种是IEEE802.3的帧结构，如下如所示：| DMAC(6byte) | SMAC(6byte) | Length(2byte)|llC(3byte) |Data(43~1497byte) | CRC(4byte) |DMAC、SMAC、Data和CRC字段不再赘述。

这种帧结构用length字段替代了type字段，并从Data字段中划出了3byte 作为LLC字段，作为服务访问点（SAP）的新区域来解决识别上层协议的问题。

Length：即是长度字段，记录Data字段的长度。

LLC：由目的服务访问点DSAP（Destination Service Access Point）、源服务访问点SSAP（Source Service Access Point）和Control字段组成,分别占有1byte。

实验四考察802.3协议的操作和以太网帧格式一、实验目的1、分析802.3协议2、熟悉以太网帧的格式二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；Ethereal、IE等软件。

三、实验步骤1、俘获并分析以太网帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。

（2）启动Ethereal，开始分组俘获。

（3）在浏览器的地址栏中输入：/ethereal-labs/HTTP-ethereal-lab-file3.html，浏览器将显示冗长的美国权力法案。

（4）停止分组俘获。

首先，找到你的主机向服务器发送的HTTP GET 报文的分组序号，以及服务器发送到你主机上的HTTP 响应报文的序号。

其中，窗口大体如下。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

窗口如下。

（5）选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分。

根据操作，回答“四、实验报告内容”中的1--4题（6）选择包含HTTP 响应报文第一个字节的以太网帧，根据操作，回答“四、实验报告内容”中的5--7题2、ARP(1)利用MS-DOS命令：arp -a 或 c:\windows\system32\arp查看主机上ARP缓存的内容。

根据操作，回答“四、实验报告内容”中的8题。

(2)利用MS-DOS命令：arp-d * 清除主机上ARP缓存的内容。

(3)清除浏览器缓存。

(4)启动Ethereal，开始分组俘获。

(5)在浏览器的地址栏中输入：/ethereal-labs/HTTP-ethereal-lab-file3.html，浏览器将显示冗长的美国权力法案。

(6)停止分组俘获。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。