以太网数据帧的格式分析

以太网数据帧的格式 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 大家都知道我们目前的局域网大多数是以太网，但以太网有多种标准，其数据帧有多种格式，恐怕有许多人不是太清楚，本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。以太网这个术语一般是指数字设备公司（DigitalEquipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本，第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了）。它是目前TCP/IP网络采用的主要的局域网技术。它采用一种称作CSMA/CD的媒体接入方法，其意思是带冲突检测的载波侦听多路接入（CarrierSense,MultipleAccesswithCollisionDetection）。它的速率为10Mb/s，地址为48bit。1985年，IEEE（电子电气 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 师协会）802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。不幸的是，802.2和802.3定义了一个与以太网不同的帧格式，加上1983年Novell为其Netware开发的私有帧，这些给以太网造成了一定的混乱，也给我们学习以太网带来了一定的影响。前导码源地址目的地址866Sniffer捕捉的范围捕捉帧最大长度=1514bytes*捕捉帧最小长度=60bytes数据链路层数链层头数据FCS上图中，数据链路层头（Header）是数据链路层的控制信息的长度不是固定的，根据以太网数据帧的格式的不同而不同，那么判断IEEE802.3、IEEE802.3SNAP、EthernetVersion2、Netware802.3“Raw”这些数据帧的最主要依据也源于Header的变化。从该图中也可以看出，Sniffer捕捉数据包的时候是掐头去尾的，不要前面的前导码，也丢弃后面的CRC校验（注意它只是不在Decode里显示该区域，但并不代表它不去做数据包CRC校验），这就是很多人困惑为什么Sniffer捕捉到的数据包长度跟实际长度不相符的原因。那么，Sniffer是如何来判断这些不同类型的以太网格式呢？通过图1-2的逻辑结构，Sniffer就可以判断出不同的以太网格式，这里需要注意的是，Sniffer在数据包解码时有自己的格式，所以有Offset之说，图1-2中的offsetØE是指在SnifferHex解码窗口中从左向右第15位的数值。大家如果看这幅图有点发懵的话，没有关系，看完后面的格式分析后再来看这幅图，相信一定能够明白下面我们通过一些具体的图示和数据包来说明各种以太网格式的具体区别。2、EthernetVersion2以太网版本2是先于IEEE标准的以太网版本。446-15002668Sniffer捕捉的范围数链层前导码DASA类型数据FCS1010…10101011从图2-1中可以看出，EthernetV2通过在DLC头中2个字节的类型（Type）字段来辨别接收处理。类型字段是用来指定上层协议的（如0800指示IP、0806指示ARP等），它的值一定是大于05FF的，它提供无连接服务的，本身不控制数据（DATA）的长度，它要求网络层来确保数据字段的最小包长度（46字节）。图2-2是Sniffer捕获的EthernetV2帧的解码，可以看到在DLC层，源DLC地址后紧跟着就是以太网类型（Etehertype）值0800，代表上层封装的是IP报文，0800大于05FF，因而我们可以断定它是EthernetV2的帧。3、IEEE802.3442-14971or21126617数链层前导码DASA长度SFD逻辑链路控制（LLC）802.2Sniffer捕捉范围SFD：开始定界符DSAP：目标服务访问点SSAP：源服务访问点Control：控制信息从图3-1可以看出，IEEE802.3把DLC层分隔成明显的两个子层：MAC层和LLC层，其中MAC层主要是指示硬件目的地址和源地址。LLC层用来提供一些服务：–通过SAP地址来辨别接收和发送方法–兼容无连接和面向连接服务–提供子网访问协议（Sub-networkAccessProtocol，SNAP），类型字段即由它的首部给出。DSAPSSAPControl数据+填充ＦＣＳ　MAC层要保证最小帧长度不小于64字节，如果数据不满足64字节长度就必须进行填充。　图3-2是Sniffer捕获的IEEE802.3帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0026，它小于05FF，可以肯定它不是EthernetV2的帧，而接下来的Offset0E处的值“4242”（代表DSAP和SSAP），既不是Novell802.3“Raw”的特征值“FFFF”，也不是IEEE802.3SNAP的特征值“AAAA”，因此它肯定是一个IEEE802.3的帧4、IEEE802.3SNAP438-1492231AAAA26617数链层前导码SFDDASA长度逻辑链路控制（LLC）802.2SNAPSNAP　HeaderControl类型数据ＦＣＳSniffer捕捉范围1010…10101011SNAP(Sub-NetworkAccessProtocol)子网访问协议，是逻辑链路控制（LogicalLinkControl）的一个子集，它允许协议不用通过服务访问点（SAP）即可实现IEEE兼容的MAC层功能，因此它在DSAP和SSAP域里的值是固定的（AAAA）。也正源于此，它需要额外提供5个字节的头来指定接收方法，3个字节标识厂商代码，2个字节标识上层协议。其MAC层保证数据帧长度不小于64字节，不足的话需要进行数据填充。图4-2是Sniffer捕获的IEEE802.3SNAP帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0175，它小于05FF，可以肯定它不是EthernetV2的帧，而接下来的Offset0E处的值“AAAA”（代表DSAP和SSAP），这是IEEE802.3SNAP的特征值“AAAA”，因此可以断定它是一个IEEE802.3SNAP的帧。5、NovellNetware802.3“Raw”虽然它的产生先于IEEE802.3规范，但已成为IEEE802.3规范的一部分。它仅使用DLC层的下半部，而不使用LLC。444-1498FFFF2668数链层前导码DASA长度数据ＦＣＳSniffer捕捉范围从图5-1中可以看出，802.3“Raw”帧通过在DLC头中2个字节的长度（Length）字段来标记数据帧长度，而在长度字段后紧跟着就是两个字节的十六进制值FFFF，它是用来标识IPX协议头的开始。为了确保最小数据帧长度为64字节，MAC层会进行填充数据区域来确保最小长度。在所有工作站都使用同一种数据帧类型情况下不会有什么问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，但如果是在混合以太网帧类型环境中，Novell的这种以太网帧会造成负面影响：当Novell发出广播帧时，其FF字段正好是IEEE802.3帧中的服务访问点（SAP）域，它的“FF”值代表着广播SAP，因此所有的工作站（不管是不是Netware工作站）都会拷贝，这会造成不必要的广播影响。　图5-2是Sniffer捕获的Netware802.3“RAW”帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0120，它小于05FF，可以肯定它不是EthernetV2的帧，而接下来的Offset0E处的值“FFFF”（代表IPX协议的开始），这是Netware802.3“Raw”　的特征值“FFFF”，因此可以断定它是一个Novell802.3“Raw”的帧。二、EthernetV2帧与IEEE802.3帧的比较　因为这两种帧是我们在现在的局域网里最常见的两种帧，因此，我们对它们进行一些比较。　从图6-1中可以看出，EthernetV2可以装载的最大数据长度是1500字节，而IEEE802.3可以装载的最大数据是1492字节（SNAP）或是1497字节;EthernetV2不提供MAC层的数据填充功能，而IEEE802.3不仅提供该功能，还具备服务访问点（SAP）和SNAP层，能够提供更有效的数据链路层控制和更好的传输保证。那么我们可以得出这样的结论：Ethernet　V2比IEEE802.3更适合于传输大量的数据，但EthernetV2缺乏数据链路层的控制，不利于传输需要严格传输控制的数据，这也正是IEEE802.3的优势所在，越需要严格传输控制的应用，越需要用IEEE802.3或SNAP来封装，但IEEE802.3也不可避免的带来数据装载量的损失，因此该格式的封装往往用在较少数据量承载但又需要严格控制传输的应用中。　在实际应用中，我们会发现，大多数应用的以太网数据包是EthernetV2的帧（如HTTP、FTP、SMTP、POP3等应用），而交换机之间的BPDU（桥协议数据单元）数据包则是IEEE802.3的帧，VLANTrunk协议如802.1Q和Cisco的CDP（思科发现协议）等则是采用IEEE802.3　SNAP的帧。大家有兴趣的话，可以利用Sniffer等协议分析工具去捕捉数据包，然后解码查看是不是这样的。数链层前导码sfdDASA长度逻辑链路控制（LLC）８０２.２SNAP　HEADER