【计算机网络】实验二 以太网MAC帧分析

实验名称

实验二 以太网MAC 帧分析

重点难点

重点：以太网帧格式； 难点：探索MAC帧格式各字段具体的物理意义，熟悉以太网帧的格式；

实验目的

1.理解以太网MAC 地址

2.学习并分析以太网MAC 帧格式的结构、含义

3.了解ARP 地址解析协议

实验环境

与因特网连接的计算机网络系统；主机操作系统为windows；WireShark、IE等软件；实验文件“计算机网络实验.cap”。

实验步骤

1、以太网MAC 帧的解析

文件“计算机网络实验”，是一个网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，如图1 是对第26 个分组的详细信息。在协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、ARP 地址解析协议。

图2 第26 个分组MAC 帧格式的结构和含义

图中的Frame 26 为例，可以发现该MAC 帧是本机发出的一个广播帧broadcast，目标address 是ff:ff:ff:ff:ff:ff，源地址是00 25 11 4e 02 34 ，帧类型是地址解析协议ARP（0806），ff:ff:ff:ff:ff:ff 是广播地址。

图3 第27 个分组MAC 帧格式的结构和含义

第27 个分组数据字段的长度小于 46 字节，在数据字段的后面发送方加入了整数字节的填充字段Trailer，以保证以太网的 MAC 帧长不小于 64 字节（含FCS）。（注意：最下栏左面的序号为16 进制，如0010 是16 十进制），填充内容一般常见是连续的0。

2、ARP 地址解析协议数据

第26 个分组的协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、ARP地址解析协议。该MAC 帧目标address 是ff:ff:ff:ff:ff:ff 是一个广播帧，源地址是00 25 11 4e02 34 ，帧类型是地址解析协议ARP（0806），本机查询网关的物理地址，第27 个分组是对26 分组的应答。

问题一

1. 以太网 V2 MAC 帧格式是怎样的？什么是物理地址？

回答

1. 以太网 V2 的 MAC 帧格式如下：

2. 目的 MAC 地址：6 字节

3. 源 MAC 地址：6 字节

4. 类型/长度字段：2 字节

5. 数据/填充字段：46 到 1500 字节

6. 帧校验序列：4 字节

7. 物理地址指的是 MAC 地址，是网络设备在网络中的唯一标识符。它是由厂商预先分配的，MAC地址是48位的，通常以十六进制表示。物理地址在网络通信中用于确定数据包从哪里来、要发送到哪里去。

问题二

1. 根据“计算机网络实验.cap”回答以下问题：分析第1 个分组的MAC 帧目标物理地址、源物理地址、封装数据的协议类型，是否有填充字段？

回答

目的物理地址

ff:ff:ff:ff:ff:ff

源物理地址

00:25:11:4e:02:34

封装数据的协议类型

IPv4（0x0800）

是否有填充字段

否

问题三

1. 分析第29 个分组的MAC 帧目标物理地址、源物理地址、封装数据的协议类型，是否有填充字段？

回答

目的物理地址

00:04:96:10:64:30

源物理地址

00:25:11:4e:02:34

封装数据的协议类型

IPv4（0x0800）

是否有填充字段

否

问题四

1. 分析第21 个分组的MAC 帧目标物理地址、源物理地址、封装数据的协议类型，是否有填充字段？

回答

目的物理地址

ff:ff:ff:ff:ff:ff

源物理地址

00:16:e6:7f:89:04

封装数据的协议类型

ARP（0x0806）

是否有填充字段

是

问题五

1. 分析第197 个分组的MAC 帧目标物理、源物理地址、封装数据的协议类型，是否有填充字段？

回答

目的物理地址

00:04:96:10:64:30

源物理地址

00:25:11:4e:02:34

封装数据的协议类型

IPv4（0x0800）

是否有填充字段

否

问题六

6.“计算机网络实验.cap”中的 ARP 数据报有几个？简单解释它们的作用和来源。

回答

ARP 数据报有6个。

第8、9、10分组是ARP通告报文，用于通知网络上的其他设备，IP地址219.222.170.14与MAC地址00:25:11:4e:02:34相关联。

第21、26分组是ARP请求报文，请求指定IP地址对应的MAC地址。

第27分组是ARP响应报文，响应第26分组的请求。

问题七

7.“计算机网络实验.cap”第26 个分组是如何被相应的？结合这个实例，给出ARP 的原理？

回答

第26 个分组是一个ARP请求报文，在局域网内发MAC地址广播，请求IP地址为219.222.170.254的MAC地址, 网络中所有的主机都会收到该ARP请求，只有对应的IP地址D 主机(219.222.170.254)会先响应该ARP请求。然后返回一个单播ARP响应数据包，告诉所要的MAC地址是(00:04:96:10:64:30)。

ARP工作原理:

首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。