以太网帧格式总结

以太网首部28字节ARP 数据包E T H _D S CE T H _S R C帧类型硬件类型协议类型硬件地址长度 协议地址长度OP 发送方以太网地址 发送方以太网IP 地址 接收方以太网地址 接收方IP 地址6 6 2 2 2 1 1 2 64 6 4 目的MAC 地址 （0xff BoardCast)源MAC 地址 ARP:0x0806 IP:0x0800 PPPoE:0x8864 硬件接口类型对于以太网MAC 为1 映射的协议地址类型。

IP 地址：0x08006 4ARP 数据包类型1:ARP_Request2:ARP_Acknowledge 3:RARP_Request4:RARP_AcknowledgeＩＰ首部版本号 （４位） 首部长度 （４位）服务类型（ＴＯＳ） （８位）总长度 （１６位）标识（１６位） 标志 （３位） 分片偏移量 （１３位） 生存时间（ＴＴＬ） （８位）协议 （８位）首部校验和 （１６位）源ＩＰ地址（３２位） 目的ＩＰ地址（３２位） 选项字段（若存在）数据区数据报规定了首部的格式，却没有规定其后数据的格式，所以ＩＰ数据报可以用来运输任意类型的数据。

１、版本号 ＩＰｖ４－－－４ＩＰｖ６－－－６２、首部长度 字为单位 该字段最大值１５（１５＊４＝６０ｂｙｔｅ）。

３、服务类型 （Ｔｙｐｅ ｏｆ Ｓｅｒｖｉｃｅ，ＴＯＳ）当前ＩＰ数据报急需的服务类型：最小延时，最大吞吐量，最高可靠性，最小费 用等。

路由在转发时根据该字段选择最合理路径。

４、总长度 ＭＴＵ限制５、１６位标识字段用于标识ＩＰ层发送出去的每一份ＩＰ数据报，分片中用。

６、３位标志字段。

１：保留。

２：不分片位。

３：更多分片位。

７、１３位偏移字段８、生存时间：该ＩＰ数据报最多能转发的次数。

９、协议：ＩＰ数据报上层来源。

１：ＩＣＭＰ。

２：ＩＧＭＰ。

６：ＴＣＰ。

１７：ＵＤＰ。

１０、首部校验：只针对ＩＰ首部校验。

１６ｂｉｔｓ １６ｂｉｔｓ ＵＤＰ首部 源端口号 目的端口号 总长度 校验和ＵＤＰ数据区 数据区常见的ＴＣＰ熟知端口： 熟知端口 协议 说明 ０ ———— 保留７ Ｅｃｈｏ 报文回送服务器端口 ２０ ＦＴＰ－ＤＡＴＡ 文件传送协议（数据） ２１ ＦＴＰ 文件传送协议 ２３ ＴＥＬＮＥＴ 终端连接 ２５ ＳＭＴＰ 简单邮件传送协议 ５３ ＤＮＳ 域名服务器 ８０ ＨＴＴＰ 万维网服务器 １１０ ＰＯＰ３ 邮局协议版本３ １０８０ ＳＯＣＫＳ代理服务器协议URG 首部中的紧急指针字段有效 ACK 首部中的确认序号字段有效 PSH 推送数据 RST 连接复位SYN 发起连接，同步序号 FIN 终止连接0 16 31TCP 首部源端口号（16位）目的端口号（16位） 序号（32位） 确认序号（32位）首部长度 （4位）保留 （6位）U R GA C K P S H R S T S Y N F I N窗口大小（16） 校验和（16位）紧急指针（16位） 选项和填充（如果有）TCP 数据区数据区。

为什么以太网数据帧最小为64字节如果把“以太网”比作是一栋“房子”，这栋房子可以算得上是人类构建的非常了不起的“建筑”了，以太网设计人员制定了一系列的标准，这些看似有意义似乎又没有意义的数字、标准构成了以太网的砖瓦基石，今天我们来看一块位于这栋“房子”底层的“砖基”——以太网最小帧长为什么是64字节。

首先我们先来看一下以太网数据帧的格式：1、前导码/帧起始定界符：7字节0x55，一串1、0间隔，用于信号同步，1字节0xD5(10101011)，表示一帧开始2、目的地址：6字节3、源地址：6字节4、类型/长度：2字节，0～1500保留为长度域值，1536～65535保留为类型域值(0x0600～0xFFFF)5、数据：46～1500字节6、帧校验序列(FCS)：4字节，使用CRC计算从目的MAC到数据域这部分内容而得到的校验和。

以太网(IEEE 802.3)帧格式：1、前导码：7字节0x55,一串1、0间隔，用于信号同步2、帧起始定界符：1字节0xD5(10101011)，表示一帧开始3、DA(目的MAC)：6字节4、SA(源MAC)：6字节5、类型/长度：2字节，0～1500保留为长度域值，1536～65535保留为类型域值(0x0600～0xFFFF)6、数据：46～1500字节7、帧校验序列(FCS)：4字节，使用CRC计算从目的MAC到数据域这部分内容而得到的校验和。

据RFC894的说明，以太网封装IP数据包的最大长度是1500字节，也就是说以太网最大帧长应该是以太网首部加上1500，再加上7字节的前导同步码和1字节的帧开始定界符，具体就是：7字节前导同步吗＋1字节帧开始定界符＋6字节的目的MAC＋6字节的源MAC＋2字节的帧类型＋1500＋4字节的FCS。

按照上述，最大帧应该是1526字节，但是实际上我们抓包得到的最大帧是1514字节，为什么不是1526字节呢？原因是当数据帧到达网卡时，在物理层上网卡要先去掉前导同步码和帧开始定界符，然后对帧进行CRC检验，如果帧校验和错，就丢弃此帧。

各种不同以太网帧格式利用抓包软件的来抓包的人，可能经常会被一些不同的Frame Header搞糊涂，为何用的Frame的Header是这样的，而另外的又不一样。

这是因为在Ethernet中存在几种不同的帧格式，下面我就简单介绍一下几种不同的帧格式及他们的差异。

一、Ethernet帧格式的发展1980 DEC,Intel,Xerox制订了Ethernet I的标准；1982 DEC,Intel,Xerox又制订了Ehternet II的标准；1982 IEEE开始研究Ethernet的国际标准802.3；1983迫不及待的Novell基于IEEE的802.3的原始版开发了专用的Ethernet帧格式；1985 IEEE推出IEEE 802.3规范；后来为解决EthernetII与802.3帧格式的兼容问题推出折衷的Ethernet SNAP格式。

(其中早期的Ethernet I已经完全被其他帧格式取代了所以现在Ethernet只能见到后面几种Ethernet的帧格式现在大部分的网络设备都支持这几种Ethernet 的帧格式如:cisco的路由器在设定Ethernet接口时可以指定不同的以太网的帧格式:arpa,sap,snap,novell-ether)二、各种不同的帧格式下面介绍一下各个帧格式Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500 字节的数据，和4字节的帧校验）Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

一、 以太网数据帧的格式分析大家都知道我们目前的局域网大多数是以太网，但以太网有多种标准，其数据帧有多种格式，恐怕有许多人不是太清楚，本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。

以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本，第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了）。

它是目前TCP/IP网络采用的主要的局域网技术。

它采用一种称作CSMA/CD的媒体接入方法，其意思是带冲突检测的载波侦听多路接入（Carrier Sense, Multiple Access with Collision Detection）。

它的速率为10 Mb/s，地址为48 bit。

1985年，IEEE（电子电气工程师协会） 802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。

这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。

不幸的是，802.2和802.3定义了一个与以太网不同的帧格式，加上1983年Novell为其Netware 开发的私有帧，这些给以太网造成了一定的混乱，也给我们学习以太网带来了一定的影响。

1、通用基础注：* VLAN Tag帧和Gigabit Jumbo帧可能会超过这个限制值图1-1图1-1中，数据链路层头（Header）是数据链路层的控制信息的长度不是固定的，根据以太网数据帧的格式的不同而不同，那么判断IEEE802.3、IEEE802.3 SNAP、Ethernet Version2、Netware 802.3 “Raw”这些数据帧的最主要依据也源于Header的变化。

从该图中也可以看出，Sniffer捕捉数据包的时候是掐头去尾的，不要前面的前导码，也丢弃后面的CRC校验（注意它只是不在Decode里显示该区域，但并不代表它不去做数据包CRC校验），这就是很多人困惑为什么Sniffer捕捉到的数据包长度跟实际长度不相符的原因。

以太网帧与‎i eee ‎802.3‎帧分类：‎prot‎o col ‎2009-‎11-04‎17:5‎0 125‎8人阅读‎评论(0)‎收藏举‎报sap‎c isco‎网络hea‎d erac‎c essa‎p ple‎h ttp:‎//zhi‎d ao.b‎a idu.‎c om/q‎u esti‎o n/93‎56750‎1.htm‎lhtt‎p://b‎l og.c‎s dn.n‎e t/wz‎w200/‎a rchi‎v e/20‎09/07‎/23/4‎37305‎6.asp‎x浅‎谈以太网帧‎格式‎‎‎‎‎‎‎‎一、‎E ther‎n et帧格‎式的发展‎198‎0 DEC‎,Inte‎l,Xer‎o x制订了‎E ther‎n et I‎的标准‎1982 ‎D EC,I‎n tel,‎X erox‎又制订了E‎h tern‎e t II‎的标准‎1982 ‎I EEE开‎始研究Et‎h erne‎t的国际标‎准802.‎319‎83 迫不‎及待的No‎v ell基‎于IEEE‎的802.‎3的原始版‎开发了专用‎的Ethe‎r net帧‎格式1‎985 I‎E EE推出‎I EEE ‎802.3‎规范,后来‎为解决Et‎h erne‎t II与8‎02.3帧‎格式的兼容‎问题, 推‎出折衷的E‎t hern‎e t SN‎A P格式‎(其中‎早期的Et‎h erne‎t I已经‎完全被其他‎帧格式取代‎了 ,所以‎现在Eth‎e rnet‎只能见到后‎面几种Et‎h erne‎t的帧格式‎,现在大‎部分的网络‎设备都支持‎这几种Et‎h erne‎t的帧格式‎,如:c‎i sco的‎路由器再设‎定Ethe‎r net接‎口时可以指‎定不同的以‎太网的帧格‎式:arp‎a,sap‎,snap‎,nove‎l l-et‎h er) ‎二.各‎种不同的帧‎格式下‎面介绍一下‎各个帧格式‎1.‎E ther‎n et I‎I就是‎D IX以太‎网联盟推出‎的。

计算机⽹络协议，以太⽹帧格式以太⽹的MAC帧格式有好⼏种，被⼴泛应⽤的是DIX Ethernet V2标准，还有⼀种是IEEE的802.3标准，该标准经过了多年的发展，已经出现了很多种⼦标准。

DIX Ethernet V2 标准与 IEEE 的 802.3 标准只有很⼩的差别，因此可以将 802.3 局域⽹简称为“以太⽹”。

严格说来，“以太⽹”应当是指符合DIX Ethernet V2 标准的局域⽹⼀、DIX Ethernet V2（Ethernet II）1.帧结构2.字段分析=======================================================================================================源MAC地址 ===> 发送⽅的MAC地址=======================================================================================================⽬的MAC地址 ===> 接收⽅的MAC地址=======================================================================================================上层协议类型 ===> 该MAC数据报中包装的⽹络层数据报协议类型若该字段的值⼩于1518，那么这个字段就是长度字段，并定义后⾯的数据字段的长度。

若该字段的值⼤于1518，它就定义使⽤因特⽹服务的上层协议（⼩于0600H的值是⽤于IEEE802的，表⽰数据包的长度）具体协议类型可以参考如下两个表：表1：协议ID（Type）以太⽹协议0x0800Internet Protocol, Version 4(IPv4)0x0806Address Resolution Protocol(ARP)0x0842Wake-on-LAN Magic Packet0x1337SYN-3 Heartbeat Protocol(SYNdog)0x22F3IETF TRILL Protocol0x6003DECnet Phase IV0x8035Reverse Address Resolution Protocol(RARP)0x809B AppleTalk(Ethertalk)0x80F3AppleTalk Address Resolution Protocol(AARP)0x8100VLAN-tagged frame(IEEE 802.1Q)0x8137Novell IPX(alt)0x8138Novell0x8204QNX Qnet0x86DD Internet Protocol, Version 6(IPv6)0x8808MAC Control0x8809Slow Protocols(IEEE 802.3)0x8819CobraNet0x8847MPLS unicast0x8848MPLS multicast0x8863PPPoE Discovery Stage0x8864PPPoE Session Stage0x886F Microsoft NLB heartbeat0x8870Jumbo Frames0x887B HomePlug 1.0 MME0x888E EAP over LAN(IEEE 802.1X)0x888E EAP over LAN(IEEE 802.1X)协议ID（Type）以太⽹协议0x8892PROFINET Protocol0x889A HyperSCSI(SCSI over Ethernet)0x88A2ATA over Ethernet0x88A4EtherCat Protocol0x88A8Provider Bridging(IEEE 802.1ad)0x88AB Ethernet Powerlink0x88CC LLDP0x88CD sercos III0x88D8Circuit Emulation Services over Ethernet(MEF-8)0x88E1HomePlug AV MME0x88E3Media Redundancy Protocol(IEC62439-2)0x88E5MAC security(IEEE 802.1AE)0x88F7Precision Time Protocol(IEEE 1588)0x8902IEEE 802.1ag Connectivity Fault Management(CFM) Protocol / ITU-T Recommendation Y.1731(OAM) 0x8906Fibre Channel over Ethernet0x8914FCoE Initialization Protocol0x9000Configuration Test Protocol(Loop)0x9100Q-in-Q表2：以太类型值 (16 进制 )对应协议备注0x0000 - 0x05DC IEEE 802.3 长度0x0101 – 0x01FF实验0x0660XEROX NS IDP0x06610x0800DLOG0x0801X.75 Internet0x0802NBS Internet0x0803ECMA Internet0x0804Chaosnet0x0805X.25 Level 30x0806ARP0x0808帧中继ARP0x6559原始帧中继RFR0x8035动态 DARP，反向地址解析协议 RARP0x8037Novell Netware IPX0x809B EtherTalk0x80D5IBM SNA Services over Ethernet0x80F3AppleTalk 地址解析协议 AARP0x8100以太⽹⾃动保护开关 EAPS0x8137因特⽹包交换 IPX0x814C简单⽹络管理协议 SNMP0x86DD⽹际协议 v6 IPv6重要字段含义：Dest addr ：以太⽹ OAM 报⽂的⽬的 MAC地址，为组播 MAC 地址 0180c2000002Source addr ：以太⽹ OAM 报⽂的源 MAC地址，为发送端的桥 MAC 地址，该地址是⼀个单播 MAC地址Type ：以太⽹ OAM 报⽂的协议类型，为0x8809Subtype ：以太⽹ OAM 报⽂的协议⼦类型，为 0x030x8809OAM Flags ： Flags 域，包含了以太⽹ OAM 实体的状态信息Code ：本字段指明了 OAMPDU 的报⽂类型。

3.3.2 MAC帧的格式讣？I• 1980年9月，以太网规约的第一个版本DIXV1 (10Mb/s)• 1982年，DIX Ethernet V2 • 1983年，IEEE的802.3标准•常用的以太网MAC帧格式有两种标准: -DIX Ethernet V2 标准-IEEE 的802.3 标准•最常用的MAC帧是DIX Ethernet V2标准的格式以太网V2的MAC帧格式MAC帧物理层以太网V2的MAC 帧格式MAC 帧 物理层源地址字段6字节字节66/ / 2{ } 46 ~ 1500 4 =>目的地址源地盘类型数"据FCS—A1 ———————————=t=7IP 数据报MAC 层IP 层▼ 以太网V2的MAC帧格式类型字段用来标志上一层使用的是什么协议, 以便把收到的MAC帧的数据上交给上一层的这个协议。

以太网V2的MAC帧格式数据字段的正式名称是MAC客户数据字段最小长度64字节- 18字节的首部和尾部=数据字段的最小长度当数据字段的长度小于46字节时，应在数据字段的后面加入整数字节的填充字段, 以保证以太网的MAC帧长不小于64字节。

以太网V2的MAC帧格式亠在帧的前面插入的8字节中的第一个字段共7个字节, 是前同步码，用来迅速实现MAC帧的比特同步。

第二个字段是帧开始定界符,表示后面的信息就是MAC帧。

332以太网帧• IEEE 的802.3规定的MAC 帧稍复杂。

IP 层LLC 子层MAC 子层802.3 MAC 帧士的地址;・② 源地地址是帧发往的站点地址，每个站点都有自己惟址是帧发送的站点地址；・③长度/类型字段；-数值小于1500字节，为长度字段;-数值大于1536字节，为类型字段;・④数据字段;5数据字段内容为IP数据报；-长度：46~1500字节；-若数据长度小于46字节，MAC字子层会在数据字段后面加入一个整数字节的填充字段，以保证数据字段长不小于46字节；-对于有效数据字段长度的识别，由上层协议实现。

常见以太网帧结构详解以太网是一个常用的局域网技术，其数据传输是以帧的形式进行的。

以太网帧是以太网数据传输的基本单位，通过帧头、帧数据和帧尾等部分来描述有效载荷的数据。

以太网帧的结构如下：1. 帧前同步码（Preamble）：以太网帧的开始部分有7个字节的帧前同步码，其作用是为接收端提供定时的参考，帮助接收端进行帧同步。

2.帧起始界定符（SFD）：帧前同步码之后的1字节帧起始界定符为0x55，标志着以太网帧的开始。

3. 目标MAC地址（Destination MAC Address）：目标MAC地址占6个字节，表示帧的接收者的MAC地址。

4. 源MAC地址（Source MAC Address）：源MAC地址占6个字节，表示帧的发送者的MAC地址。

5. 长度/类型字段（Length/Type Field）：长度/类型字段占2个字节，当该字段的值小于等于1500时，表示以太网帧的长度；当该字段大于等于1536时，表示该字段定义了帧中的协议类型。

6. 帧数据（Data）：帧数据部分是以太网帧的有效载荷，其长度为46到1500字节，不包括帧头和帧尾。

7. 帧校验序列（Frame Check Sequence，FCS）：帧校验序列占4个字节，主要用于对帧进行错误检测，以保证数据的可靠性。

8. 帧尾（Frame Check Sequence，FCS）：帧尾占4个字节，用于标识以太网帧的结束。

以太网帧的长度为64到1518字节，其中有效载荷部分数据长度为46到1500字节，不同帧的长度可以根据网络需求进行调整。

在发送以太网帧时，发送方会在帧尾的后面添加额外的字节以保证整个帧的长度达到最低限制。

这些额外的字节即填充字节（Padding），用于使帧长达到最小限制的要求。

以上是以太网帧的常见结构，它描述了以太网帧的各个部分的作用和位置。

了解以太网帧的结构对于理解以太网的工作原理和网络通信非常重要。

///定义IP头struct IpHeader{BYTE Version:4; //IP协议版本号BYTE hLen:4; //IP报头长度，以每四个字节为一单位BYTE Tos; //服务类型字段WORD TotalLen; //IP数据报总长度，以字节为单位WORD Ident; //分段标识符WORD FragAndFlags; //分段偏移量BYTE TTL; //生命周期BYTE Proto; //协议字段，表示放在此IP数据报中传送的是何种协议的数据WORD CkSum; //校验和DWORD SourceIP; //源IP地址DWORD DestIP; //目的IP地址};///定义IP选项头struct IpOptionHeader{BYTE DupliFlag:1; //复制标志BYTE OptionClass:2; //选项类BYTE OptionNum:5; //选项号BYTE Len; //IP选项的长度BYTE Ptr; //指针BYTE Fill; //选充字段};///定义ICMP报文头struct ICMPHeader{USHORT iType:8; //报文类型USHORT iCode:8; //报文说明WORD iCkSum; //整个ICMP报文的校验和WORD iID; //标识IDWORD iSeq; //标识序号};基于IP寻址的多媒体通信网（2）蒋林涛这一讲介绍基于IP寻址的多媒体通信网的通信协议。

IP寻址的通信网是基于TCP／IP协议的，因此IP协议和TCP协议是IP网中的一对重要协议，同时为了能保证实时业务在IP网中很好运行，还需要使用实时传送协议（协议RTP）和实时传送控制协议（RTCP）。

为了给实时业务或其它特定业务提供足够宽的通道，还要用到资源预留协议（RSVP）。

这5个通信协议是IP网的主要通信协议（四层以下），它是IP网的通信基础，IP网的所有业务基本都是在这些通信协议的基础上建立起来的。

以太网传输报文格式规范一、报文格式报文传输格式由APCI及ASDU两部分组成，ASDU参照IEC103标准及后台通讯标准，APCI 格式如下：typedef struct _tagPacketHead{WORD wFirstFlag; //0xEB90HDWORD wLength; //数据长度WORD wSecondFlag; //0xEB90HWORD wSourceFactoryId; //源厂站号WORD wSourceAddr; //源地址WORD wDestinationFactoryId; //目标厂站号WORD wDestinationAddr; //目标地址WORD wDataType; //报文类型WORD wDataNumber; //数据编号WORD wSpecialData; //特殊数据WORD wReserve1; //保留字节0xFFFFWORD wReserve2; //保留字节0xFFFFWORD wReserve3; //保留字节0xFFFF}PacketHead;说明：1、该规范适用于采用以太网传输的装置和各种装换装置，采用串口方式传输的装置仍采用IEC103标准通讯规范，其APCI由转换装置添加。

2、通讯以字节方式传输,字节顺序采用LITTLE_ENDIAN顺序3、报文长度为源厂站号、源地址、目标厂站号、目标地址、报文类型、数据编号、四个保留字节、报文体的自己长度之和，以二进制数表示。

4、源厂站号和目标厂站号使用说明1）站内监控系统的源厂站号和目标厂站号均填零。

2）装置的源厂站号填零，目标厂站号对主动上送的报文填零，命令回答报文填下发命令的源厂站号。

3）集控站监控系统、调度系统、远动机需完整填写源厂站号和目标厂站号。

5、源地址和目标地址的使用说明1）源地址和目标地址指装置地址和各类监控机的地址。

2）对所有厂站广播的报文目标厂站号填0xFFFF，对厂站内所有装置广播的报文目标地址填0xFFFF。

以太⽹帧格式分析实验报告IP,⽽MAC地址就是伪造的,则当A接收到伪造的ARP应答后,就会更新本地的ARP缓存,这样在A瞧来B 的IP地址没有变,⽽它的MAC地址已经不就是原来那个了。

由于局域⽹的⽹络流通不就是根据IP地址进⾏,⽽就是按照MAC地址进⾏传输。

所以,那个伪造出来的MAC地址在A上被改变成⼀个不存在的MAC 地址,这样就会造成⽹络不通,导致A不能Ping通B！这就就是⼀个简单的ARP欺骗。

【实验体会】这次实验最⼤的感触就是体会到了⽹络通信过程的趣味性。

在做ping同学IP的实验时,我发现抓到的包之间有紧密的联系,相互的应答过程很像实际⽣活中⼈们之间的对话。

尤其就是ARP帧,为了获得对⽅的MAC地址,乐此不疲地在⽹络中⼴播“谁有IP为XXX的主机？”,如果运⽓好,会收到⽹桥中某个路由器发来的回复“我知道,XXX的MAC地址就是YYY！”。

另外,通过ping同学主机的实验,以及对实验过程中问题的分析,使我对之前模糊不清的⼀些概念有了全⾯的认识,如交换机、路由器的区别与功能,局域⽹各层次的传输顺序与规则等。

还有⼀点就就是,Wireshark不就是万能的,也会有错误、不全⾯的地⽅,这时更考验我们的理论分析与实践论证能⼒。

成绩优良中及格不及格教师签名: ⽇期:【实验作业】1 观察并分析通常的以太⽹帧1、1 以太⽹帧格式⽬前主要有两种格式的以太⽹帧:Ethernet II(DIX 2、0)与IEEE 802、3。

我们接触过的IP、ARP、EAP 与QICQ协议使⽤Ethernet II帧结构,⽽STP协议则使⽤IEEE 802、3帧结构。

Ethernet II就是由Xerox与DEC、Intel(DIX)在1982年制定的以太⽹标准帧格式,后来被定义在RFC894中。

IEEE 802、3就是IEEE 802委员会在1985年公布的以太⽹标准封装结构(可以瞧出⼆者时间相差不多,竞争激烈),RFC1042规定了该标准(但终究⼆者都写进了IAB管理的RFC⽂档中)。

一. Ethernet帧格式的发展1980 DEC,Intel,Xerox制订了Ethernet I的标准1982 DEC,Intel,Xerox又制订了Ehternet II的标准1982 IEEE开始研究Ethernet的国际标准802.31983 迫不及待的Novell基于IEEE的802.3的原始版开发了专用的Ethernet帧格式1985 IEEE推出IEEE 802.3规范,后来为解决EthernetII与802.3帧格式的兼容问题,推出折衷的Ethernet SNAP格式(其中早期的Ethernet I已经完全被其他帧格式取代了 ,所以现在Ethernet只能见到后面几种Ethernet的帧格式,现在大部分的网络设备都支持这几种Ethernet的帧格式,如:cisco的路由器再设定Ethernet接口时可以指定不同的以太网的帧格式:arpa,sap,snap,novell-ether)二. 各种不同的帧格式下面介绍一下各个帧格式1.Ethernet II就是DIX以太网联盟推出的。

它由6个字节的目的MAC地址，6个字节的源MAC地址，2个字节的类型域（用于标示封装在这个Frame、里面数据的类型)以上为Frame Header,接下来是46--1500字节的数据，和4字节的帧校验2.Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF,用于标示这个帧是Novell Ether类型的Frame,由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

3.IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同,EthernetII类型域变成了长度域。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point)1 byte,SSAP(Source SAP),一个控制域--1 byte! SAP用于标示帧的上层协议。

以太网帧，IP，TCP,UDP首部结构1.以太网帧的格式以太网封装格式2.IP报头格式IP是TCP/IP协议簇中最为重要的协议。

所有的TCP，UDP, ICMP 和IGMP数据都以IP数据报格式传输。

IP提供的是不可靠、无连接的协议。

普通的IP首部长为20个字节，除非含有选项字段。

4位版本：目前协议版本号是4，因此IP有时也称作IPV4.4位首部长度：首部长度指的是首部占32bit字的数目，包括任何选项。

由于它是一个4比特字段，因此首部长度最长为60个字节。

服务类型（TOS）：服务类型字段包括一个3bit的优先权字段（现在已经被忽略），4bit的TOS子字段和1bit未用位必须置0。

4bit的TOS分别代表：最小时延，最大吞吐量，最高可靠性和最小费用。

4bit中只能置其中1比特。

如果所有4bit均为0，那么就意味着是一般服务。

总长度：总长度字段是指整个IP数据报的长度，以字节为单位。

利用首部长度和总长度字段，就可以知道IP数据报中数据内容的起始位置和长度。

由于该字段长16bit，所以IP数据报最长可达65535字节。

当数据报被分片时，该字段的值也随着变化。

标识字段：标识字段唯一地标识主机发送的每一份数据报。

通常每发送一份报文它的值就会加1。

生存时间：T T L（time-to-live）生存时间字段设置了数据报可以经过的最多路由器数。

它指定了数据报的生存时间。

T T L的初始值由源主机设置（通常为 3 2或6 4），一旦经过一个处理它的路由器，它的值就减去 1。

当该字段的值为 0时，数据报就被丢弃，并发送 I C M P报文通知源主机。

首部检验和：首部检验和字段是根据 I P首部计算的检验和码。

它不对首部后面的数据进行计算。

I C M P、I G M P、U D P和T C P在它们各自的首部中均含有同时覆盖首部和数据检验和码。

3.TCP首部格式尽管T C P和U D P都使用相同的网络层（ I P），T C P却向应用层提供与U D P完全不同的服务。

以太网(RFC 894)帧格式
以太网的帧格式如下所示：
图 36.6. 以太网帧格式
其中的源地址和目的地址是指网卡的硬件地址（也叫MAC地址），长度是48位，是在网卡出厂时固化的。

用ifconfig命令看一下，“HWaddr 00:15:F2:14:9E:3F”部分就是硬件地址。

类型字段有三种值，分别对应IP、ARP、RARP。

帧末尾是CRC校验码。

以太网帧中的数据长度规定最小46字节，最大1500字节，ARP和RARP数据包的长度不够46字节，要在后面补填充位。

最大值1500
称为以太网的最大传输单元（MTU），不同的网络类型有不同的MTU，如果一个数据包从以太网路由到拨号链路上，数据包长度大于拨号链路的MTU了，则需要对数据包进行分片（fragmentation）。

ifconfig命令
的输出中也有“MTU:1500”。

注意，MTU这个概念指数据帧中有效载荷的最大长度，不包括帧首部的长度。

以太网帧格式分析实验报告【摘要】本实验主要对以太网帧格式进行了详细分析和实验验证。

首先，我们了解了以太网帧的基本概念和结构，并学习了以太网帧在网络中的传输过程。

然后，我们通过Wireshark工具对以太网帧进行捕获和分析，并对实验结果进行了解读。

最后，我们总结了实验过程中遇到的问题和经验教训，并对以太网帧格式进行了简要评价。

【关键词】以太网帧格式，Wireshark，捕获，分析一、引言以太网是目前最常用的局域网传输技术，而以太网帧则是以太网传输过程中的基本单位。

以太网帧格式的正确理解对于网络工程师来说非常重要。

本实验的目的是通过对以太网帧格式的分析和实验验证，加深对以太网帧的理解和应用能力。

二、以太网帧结构以太网帧是由头部（header）、数据（data）和尾部（trailer）三部分组成的。

头部包含了目的MAC地址、源MAC地址、帧类型等信息；数据部分是要传输的数据内容；尾部则包括了帧校验序列等信息。

三、以太网帧的传输过程以太网帧的传输是通过物理层和数据链路层进行的。

当数据从网络层传输到数据链路层时，会被封装成以太网帧的格式。

然后，以太网帧通过物理层的传输介质（如电缆）进行传输。

接收端收到以太网帧后，会解析帧头部来获取目的MAC地址，并将帧传输到上层。

四、Wireshark工具的使用Wireshark是一个常用的网络抓包工具，可以捕获网络中的数据包，并对数据包进行分析。

在本实验中，我们使用Wireshark来捕获和分析以太网帧。

五、实验步骤与结果1. 打开Wireshark并选择网络接口；2. 开始启动网络通信，在Wireshark中捕获数据包；3.分析捕获到的数据包，查看其中的以太网帧信息，如目的MAC地址、源MAC地址、帧类型等。

通过实验，我们成功捕获了多个以太网帧，并对其进行了分析。

我们发现，捕获到的以太网帧中的帧头部包含了各种重要信息，如源MAC地址、目的MAC地址、帧类型等。

这些信息对于实现正确的数据传输非常重要。

以太网帧格式详解Etherne II报头8 目标地址6 源地址6 以太类型2 有效负载46－1500 帧检验序列4 报头：8个字节，前7个0，1交替的字节（10101010）用来同步接收站，一个1010101011字节指出帧的开始位置。

报头提供接收器同步和帧定界服务。

目标地址：6个字节，单播、多播或者广播。

单播地址也叫个人、物理、硬件或MAC地址。

广播地址全为1，0xFF FF FF FF。

源地址：6个字节。

指出发送节点的单点广播地址。

以太网类型：2个字节，用来指出以太网帧内所含的上层协议。

即帧格式的协议标识符。

对于IP报文来说，该字段值是0x0800。

对于ARP信息来说，以太类型字段的值是0x0806。

有效负载：由一个上层协议的协议数据单元PDU构成。

可以发送的最大有效负载是1500字节。

由于以太网的冲突检测特性，有效负载至少是46个字节。

如果上层协议数据单元长度少于46个字节，必须增补到46个字节。

帧检验序列：4个字节。

验证比特完整性。

IEEE 802.3根据IEEE802.2 和802.3标准创建的，由一个IEEE802.3报头和报尾以及一个802.2LLC报头组成。

报头7 起始限定符1 目标地址6（2）源地址6（2）长度2 DSAP1 SSAP1 控件2 有效负载3 帧检验序列4－－－－－－－－－－－802.3报头－－－－－－－－－－－－－－§－－－802.2报头－－－－§ §－802.3报尾－§IEEE802.3报头和报尾报头：7个字节，同步接收站。

位序列10101010起始限定符：1个字节，帧开始位置的位序列10101011。

报头＋起始限定符＝Ethernet II的报头目标地址：同Ethernet II。

也可以为2个字节，很少用。

源地址：同Ethernet II。

也可以为2个字节，很少用。

长度：2个字节。

帧检验序列：4个字节。

IEEE802.2 LLC报头DSAP：1个字节，指出帧的目标节点的上层协议。