以太网报文分析

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

网络程序设计作业Xcap发包分析14020310090张振宇两台计算机通过wifi连接，利用Xcap构造相关协议报文并发送到另一台计算机，利用Wireshark分析Xcap发来的数据包。

构造报文支持构造常见的以太网报文，包括arp、rarp、ipv4、ipv6、icmpv4、icmpv6、igmp、udp、tcp、pim、ospf、rip、snmp、ppp、pppoe、ipsec（ah/esp）等等。

WinPcap能从系统中读取处所有的网络接口，Xcap可以从指定的接口发送构造的报文。

（一）查看两台计算机的网络参数在命令提示符中使用ifconfig/all命令查看计算机的MAC地址和IP地址。

(二)创建报文选择相应接口，并创建报文根据计算机的网路参数编辑以太网帧头部信息两台计算机的IP地址。

默认使用ICMP协议。

编辑报文内容并发送。

在接受端利用Wireshark抓包并过滤出ICMP协议。

有一个ping（request）也有一个ping（reply），说明发送报文成功。

下为接收到的报文信息ICMP协议分析Frame：物理层的数据帧概况。

Ethernet II：数据链路层以太网帧头部信息。

Internet Protocol Version 4：互联网层IP包头部信息。

Internet Control Message Protocol：传输层的数据段头部信息。

Frame 21: 109 bytes on wire (872 bits), 109 bytes captured (872 bits) on interface 0 第21号帧，捕获872字节Interface id: 0 (\Device\NPF_{7F40F307-442B-4241-A7FD-DB2E073B94C7})接口IDEncapsulation type: Ethernet (1) 封装类型Arrival Time 捕获日期和时间Time delta from previous captured frame 此包与前一包的时间间隔Time since reference or first frame 此包与第一帧的时间间隔Frame Number: 21 帧序号Frame Length: 109 bytes (872 bits) 帧长度Capture Length: 109 bytes (872 bits) 捕获长度Protocols in frame: eth:ethertype:ip:icmp:data 帧内封装的协议层次结构Coloring Rule Name: ICMP 着色标记的协议名称Coloring Rule String: icmp || icmpv6 着色规则显示的字符串Ethernet II：数据链路层以太网帧头部信息Destination: 5a:c2:dd:91:21:3b (5a:c2:dd:91:21:3b) 目的MAC地址Source: HonHaiPr_7b:64:27 (9c:d2:1e:7b:64:27) 源MAC地址Type: IP (0x0800) 网际协议IPInternet Protocol Version 4：互联网层IP包头部信息Internet Protocol Version 4, Src: 192.168.23.2 (192.168.23.2), Dst: 192.168.23.1 (192.168.23.1) Version: 4 协议IPv4 Header Length: 20 bytes IP包头部长度Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN -Capable Transport)) 差分服务字段Total Length: 95 IP包的总长度Identification: 0x0001 (1) 标志字段Flags: 0x00 标记字段Fragment offset: 0 分的偏移量Time to live: 64 生存期TTL Protocol: ICMP (1) 此包内封装的上层协议为ICMPHeader checksum: 0xcb49 [validation disabled] 头部数据的校验Source: 192.168.23.2 (192.168.23.2) 源IP地址Destination: 192.168.23.1 (192.168.23.1) 目标IP地址Internet Control Message Protocol：传输层的数据段头部信息Type: 8 (Echo (ping) request)Code: 0ICMP类型0用于Echo Reply数据包；ICMP类型8用于Echo Request数据包。

OAM 报文的格式分析，及查询方法基本报文格式如上图所示，下面对报文进行对应格式的分析：Destination Address Source Address Length/Type Subtype Flags Code=0x00Data/Pad FCSOctets66212142-14964Local Information TLV PadInfo Type=0xFE Octets16Length=7+4X >6Remote Information TLVOrgnization SpecificInformation TLV16DataOUI Octets113ExtSupport OUI of 1st supported Extension OUI of 2nd supported Extension :Octets1332+4XVersion 1Ver. Of 1st supported Extension Ver. Of 2nd supported Extension11为简化OAM Keep alive 处理过程，在发送端（OLT 或者ONU ），专门用于Keep alive 的OAMPDU 中仅填充标准的Information TLV （Local Info TLV 和Remote Info TLV ）即可；表1 Organization Specific Information TLV 的域及其值 Size （Octets ） Field Value1 Type0xFE (Organization Specific Information TLV) 1 Length (Octets) Varies ，including Type and Length 3OUI0xXX XX XX(to be defined)1 ExtSupport （支持扩展） 0x00/0x01 1 Version0x00～FF Version of OAM Extension publishedby the organizationVariesTLV type-specific dataDepends on Interop Type supported by the devices基本扩展报文的格式。

６结束语
网 络 报 文 分 析 系 统 主 要 应 用 于 基 于 Ｉ Ｅ Ｃ６ １ ８ ５ ０通信 网络 的智能变 电站。通过 海量 记录过 程层 Ｓ Ｖ报 文及 Ｇ ｏ ｏ ｓ ｅ 报文 ， 有 效实现 网络报文 的选择过滤 、在线记录 、网络流量统 计 。当网络流量异常时给 出告警信号 ，报文异 常时分析导致报文异常 的原 因，实现事故在线 分析 ，图像化显示报文丢失 、报文异 常情况 ， 最 终 实 现 通 信 网络 的实 时监 测 ，预 防 电流 系 统 事 故 的发 生 ，还 可 以提 起 发 现 电流 系 统通 信 网 络薄弱环节和故 障设备 ，预 防电流系 统事故 的 发生 ， 直接避免由于通信 络故障或一次设备 、 二次设备故障导致的 电流系统事故造成 的经济 损失 。
■ ＿ 用于 智能变电 站自 动 化系 统 ， 通
■ 信报文，实时监视 自 动化系统的
一
运行 状况并及 时对异 常进行报警 ，
并 可根据 所 记 录的 系统通 信报 文
３ ． １ ． ４常 见 的 以太 网 拓 扑 结 构 网络 拓 扑结 构按 形状 可 分为 ：总线 型、
据包 ”。
图 １
在 计算 机 网络 中，传输 的 信息 是 以数据 【 关键词 】网络报文分析 智能变电站站 过程 包为基本传输单 位的，数据包的 内容是被分割 层 后 的信息块 ， 在每个数据包上附加 了多层包头 。 在一个数据 包里，信息 内容往往是不完整 的， 而在 每一个数据 包头部 ，完整地包含 了传送此 数据包所 需的全部来源及 目标 的地址信 息。 随着 智 能变 电站 的迅 速发 展 ，变 电站 站 ３ ． １ ． ６组 播 与 ＧＭＲＰ 控 层 、 间 隔 层 以及 过 程 层 的通 信 网 络 报 文 已经 组 播：主 机之 间一对 一组 的通 讯 模式 ， 成 为 变 电站 智 能 设 备 间信 息 交 互 和 共 享 的 主 要 也就 是加入 了同一个组的主机可 以接收到此组 方 式 。智 能 设 备 和 通 信 网 络 的 健 康 状 况 将 直 接 内的所有 数据，网络中的交换机和路 由器 只向 影 响 整 个 智 能 变 电站 的通 信 ， 网 络 报 文 的 发 送 有 需求者 复制并转 发其所 需数据 。 端、接收端及通信 网络 异常或故障均可能导致 ＧＭＲＦ：组播注册协议 ，是基于 ＧＡ ＲＦ的 电力系统重大事故 ，因此 需要对网络报文进行 个 组播注册协议，用于维护交换机 中的组播 有效的监视 、记录和诊 断，提前发现通信网络 注册 信息。 的薄弱环节和故 障设备，预防 电力系统事故 的 ３ ． １ ． ７广播风暴与 ＶＬ ＡＮ 发生 。 广 播 风 暴 ：指 网络 上不 正确 的数 据 流 包 ， 或者 广播 消息的过度传送 。在 一个局域 网中， １网络报文分析 的背景 任 何一台主机发 出的广播报文都会被 同一广播 网络报 文记 录及 分析 装置 是对 智 能变 电 域 中的所 有其他 主机接收到。 站全站各种 网络报文 （ 快速报文 、中速报文 、 ｖ Ｌ Ａ Ｎ：虚拟局域 网，把一个物理 网络划 低速报文 、 原始数据报文 、 文件传输 功能报 文、 分为多个逻辑工作组 的逻辑 网段 。Ｖ Ｌ Ａ Ｎ 无法 时 间同步报文、访 问控制命令报文等 ）进行 实 彻底 解 决广 播风 暴 ，只能 通过 较 小 的 ＶＬ Ａ Ｎ 时监视 、捕捉、分析、存储和统计功 能的一种 划分来减少广播风暴发生的概率 。 自动 记录装置。随着光 电互感器 、信 息技术、 ． ２ 数 据 包捕 获 以太 网智能交换技术的迅速发展 ，智 能变电站 ３ 的 自动化程度越来越高 ，变 电站 站控 层、间隔 以太 网卡可 以被设置成 ４种工作模式 ： 层 以及过程层的通信 网络报文 己经成 为变电站 （ １ ）广播； （ ２ ）组播 ； （ ３ ）直接； （ ４ ） 智能设备间信息交互和共享的主要方式 。 混杂。

IEEE1588同步报文的结构和特点将IEEE1588标准引入以太网时，时钟同步报文通过TCP/IP协议进行传输。

依照IEEE1588标准，IEEE1588标准的以太网实现中，所有时钟同步报文（当然也包括管理报文）的传输都以UDP方式进行，故IEEE1588同步报文的格式还需要遵守协议的规定。

要准确检测到网络上的IEEE1588同步报文，不仅需要对同步报文的结构有完整清晰地认识，还需要明确以太网上数据包的封装原理、物理层与MAC接口以及MII信号的时序。

1、IEEE1588同步报文分类时钟同步中所必须的4个报文类型，分别是Sync()、Follow_up()、Delay_Req()、Delay_Resp()。

在完整的报文同步中，还涉及到了时钟管理中的Management报文（由于实际设计中没有涉及，在此不做讨论)。

依据IEEE1588标准，我们归纳时钟同步报文具有的特点如下：（1）Sync以广播方式从主时钟节点发出，需要在主时钟节点处标记其离开时间，在从时钟节点处标记其到达时间。

（2）Delay_Req以点对点方式从各从时钟节点发出，需要在各个从时钟节点处标记其离开时间，在主时钟节点处标记其到达时间。

（3）Follow_Up以广播方式从主时钟节点发出；Delay_Resp以点对点方式从主时钟发出。

这两个报文不需要进行时间标记。

（4）所有报文（包括时钟同步报文和管理报文）使用特定的UDP目的端口发送（表1-1）。

端口类型目的取值事件端口（EventPort）传输Sync、Delay_Req319通用端口（GeneralPort）传输Follow_Up、Delay_Resp和Management320表1-1IEEE1588报文UDP目的端口针对上述特点，所设计的同步报文检测器只需识别Sync()和Delay_Req()就可以了。

这可通过检测UDP目的端口319实现，当然此时还需要应用程序配合，根据control域（如果control域为PTP_SYNC_MESSAGE，则说明报文为Sync；如果control域为PTP_DELAYREQ_MESSAGE，则说明报文为Delay_Req。

TCP/IP协议族IP/TCPTelnet和R login、FTP以及SMTPIP/UDPDNS 、TFTP、BOOTP、SNMPICMP是IP协议的附属协议、IGMP是Internet组管理协议ARP（地址解析协议）和RARP（逆地址解析协议）是某些网络接口（如以太网和令牌环网）使用的特殊协议，用来转换I P层和网络接口层使用的地址。

1、以太帧类型以太帧有很多种类型。

不同类型的帧具有不同的格式和MTU值。

但在同种物理媒体上都可同时存在。

▪标签协议识别符(Tag Protocal Identifier, TPID): 一组16位元的域其数值被设定在0x8100以用来辨别某个IEEE 802.1Q的帧为已被标签的，而这个域所被标定位置与乙太形式/长度在未标签帧的域相同，这是为了用来区别未标签的帧。

▪优先权代码点(Priority Code Point, PCP): 以一组3位元的域当作IEEE 802.1p 优先权的参考，从0(最低)到7(最高)，用来对资料流(音讯、影像、档案等等)作传输的优先级。

▪标准格式指示(Canonical Format Indicator, CFI): 1位元的域。

若是这个域的值为1，则MAC地指则为非标准格式；若为0，则为标准格式；在乙太交换器中他通常默认为0。

在乙太和令牌环中，CFI用来做为两者的相容。

若帧在乙太端中接收资料则CFI的值须设为1，且这个端口不能与未标签的其他端口桥接。

▪虚拟局域网识别符(VLAN Identifier, VID): 12位元的域，用来具体指出帧是属于哪个特定VLAN。

值为0时，表示帧不属于任何一个VLAN；此时，802.1Q标签代表优先权。

16位元的值0x000和0xFFF为保留值，其他的值都可用来做为共4094个VLAN的识别符。

在桥接器上，VLAN1在管理上做为保留值。

这个12位元的域可分为两个6位元的域以延伸目的(Destination)与源(Source)之48位元地址，18位元的三重标记(Triple-Tagging)可和原本的48位元相加成为66位元的地址。

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500 字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

双层vlan 8100报文解析双层VLAN 8100报文解析涉及到网络通信中的VLAN（虚拟局域网）和以太网帧的结构。

首先，让我们从VLAN的概念开始解释。

VLAN是一种逻辑上的划分，用于将一个物理上的局域网分割成多个逻辑上的局域网，以实现网络流量的隔离和管理。

VLAN标签通常被添加到以太网帧的头部，以指示该帧属于哪个VLAN。

而双层VLAN则是指在以太网帧中包含两个VLAN标签，即802.1Q嵌套标签。

接下来我们来解析双层VLAN 8100报文。

在双层VLAN场景下，以太网帧的头部会包含两个VLAN标签，每个标签由12位的TPID （Tag Protocol Identifier）和3位的优先级（PCP）以及1位的DEI（Drop Eligible Indicator）组成。

其中，TPID是用来表示该标签是VLAN标签的类型，而PCP和DEI则用于QoS（Quality of Service）和流量管理。

当我们看到一个双层VLAN 8100报文时，它意味着以太网帧中的第一个VLAN标签的TPID为8100。

这意味着该帧是一个双层VLAN 帧，并且内部的VLAN标签也是以8100作为TPID。

这种情况通常出现在一些特定的网络配置中，例如在服务提供商网络中用于实现多租户隔离的场景中。

总的来说，双层VLAN 8100报文解析涉及到对以太网帧头部中的双层VLAN标签的解析，包括对TPID和VLAN标识的解释，以及理解双层VLAN在网络中的具体应用和配置。

这种报文结构的解析对于网络工程师和管理员来说是非常重要的，因为它涉及到网络数据流的正确识别和处理。

希望这个解析能够帮助你更好地理解双层VLAN 8100报文。

SV报文详解SV报文在网络上传输时采用的是OSI模型，但只用到OSI 网络模型七层中的四层，应用层、表示层、数据链路层与物理层，传输层与网络层为空。

应用层定义协议数据单元PDU，经过表示层编码后，不采用TCP/IP协议，而是直接映射到数据链路层与物理层。

这种映射方式的目的是避免通信堆栈造成传输延时，从而保证报文传输、处理的快速性。

SV报文在MAC层的帧结构包括：源MAC地址、目的地址即组播地址、报文类型、四字节Tag、APPID、报文长度、四字节的保留与SVPDU。

SV具体报文格式如图0所示。

图0 SV报文格式SV举例报文(十六进制)：01 0C CD 04 00 01 08 AD 01 10 11 12 81 00 80 02 88 BA 40 01 00 6B 00 00 00 00 60 61 80 01 01 A2 5C 30 5A 80 09 4D 55 35 30 31 31 43 5F 43 82 02 0F 9D 83 04 00 00 00 01 85 01 00 87 40 00 01 51 2D 00 00 00 00 00 00 8D 9D 00 00 00 00 FF FF A8 56 00 00 00 00 00 00 00 00 00 00 00 01 FF FF B6 C7 00 00 00 00 FF FF CB EF 00 00 00 00 FF FF B7 AE 00 00 00 00 FF FD CD CF 00 00 00 00分析如下：1、01 0C CD 04 00 01目的MAC地址2、08 AD 01 10 11 12源MAC地址3、81 00 80 02SV报文支持IEEE 802.1Q/P优先级技术，IEEE 802.1Q 为VLAN技术的标准，IEEE 802.1P为报文优先级标准。

这4个字节共同组成SV报文的Tag位。

Tag是有两个字节的TPID(标签协议标识)与2个字节的TCI(标签控制信息)组成。

Wireshark报文例子1. 介绍Wireshark是一个网络数据包分析软件，能够帮助用户捕获和分析网络数据包。

通过Wireshark可以查看网络上发送和接收的数据包，包括数据包的头部信息、协议信息以及数据内容等。

本文将以Wireshark报文的例子为主题，介绍Wireshark报文的结构和内容，并分析一个具体的报文实例。

2. Wireshark报文结构Wireshark捕获的网络数据包通常包括数据包的头部和数据部分。

数据包头部包括各种协议的头部信息，如以太网帧头部、IP数据报头部、TCP/UDP头部等。

而数据部分则包括传输的实际数据内容。

3. 报文的实际例子在Wireshark捕获的数据包中，我们可以看到各种协议的头部信息以及数据内容。

一个TCP数据包的头部包括源端口、目的端口、序列号、确认号、头部长度、标识位等信息。

而数据部分则包括应用层传输的具体数据内容。

4. 报文的分析通过Wireshark可以对捕获的数据包进行分析。

我们可以看到各个协议的头部信息，以及数据包的传输情况。

通过分析数据包的内容，我们可以了解到数据包的源位置区域、目的位置区域、传输的协议类型，以及实际传输的数据内容。

5. 报文的应用Wireshark报文分析可以应用于网络故障排查、网络安全监控、网络性能优化等方面。

通过Wireshark可以捕获网络中的数据包，分析网络流量，检测网络问题，并进行相应的优化和修复工作。

6. 结论Wireshark报文的例子是网络数据包分析的重要内容，通过对Wireshark报文的分析，可以更好地了解网络数据包的结构和内容，并进行网络故障排查和性能优化等工作。

希望通过本文的介绍，读者可以对Wireshark报文有更深入的了解，从而更好地应用Wireshark进行网络分析和监控工作。

Wireshark报文例子扩展7. Wireshark报文分析工具Wireshark是一个功能强大且易于使用的网络分析工具，它可以帮助用户捕获、分析和显示网络数据包。

TCP/IP协议族IP/TCPTelnet和R login、FTP以及SMTPIP/UDPDNS 、TFTP、BOOTP、SNMPICMP是IP协议的附属协议、IGMP是Internet组管理协议ARP（地址解析协议）和RARP（逆地址解析协议）是某些网络接口（如以太网和令牌环网）使用的特殊协议，用来转换I P层和网络接口层使用的地址。

1、以太帧类型以太帧有很多种类型。

不同类型的帧具有不同的格式和MTU值。

但在同种物理媒体上都可同时存在。

▪标签协议识别符(Tag Protocal Identifier, TPID): 一组16位元的域其数值被设定在0x8100以用来辨别某个IEEE 802.1Q的帧为已被标签的，而这个域所被标定位置与乙太形式/长度在未标签帧的域相同，这是为了用来区别未标签的帧。

▪优先权代码点(Priority Code Point, PCP): 以一组3位元的域当作IEEE 802.1p 优先权的参考，从0(最低)到7(最高)，用来对资料流(音讯、影像、档案等等)作传输的优先级。

▪标准格式指示(Canonical Format Indicator, CFI): 1位元的域。

若是这个域的值为1，则MAC地指则为非标准格式；若为0，则为标准格式；在乙太交换器中他通常默认为0。

在乙太和令牌环中，CFI用来做为两者的相容。

若帧在乙太端中接收资料则CFI的值须设为1，且这个端口不能与未标签的其他端口桥接。

▪虚拟局域网识别符(VLAN Identifier, VID): 12位元的域，用来具体指出帧是属于哪个特定VLAN。

值为0时，表示帧不属于任何一个VLAN；此时，802.1Q标签代表优先权。

16位元的值0x000和0xFFF为保留值，其他的值都可用来做为共4094个VLAN的识别符。

在桥接器上，VLAN1在管理上做为保留值。

这个12位元的域可分为两个6位元的域以延伸目的(Destination)与源(Source)之48位元地址，18位元的三重标记(Triple-Tagging)可和原本的48位元相加成为66位元的地址。

∙以太帧格式∙VLAN帧格式∙QinQ帧格式∙PPP帧格式∙PPPoE报文格式∙HDLC帧格式∙ATM信元格式∙STP/RSTP/MSTP帧格式∙RPR帧格式∙RRPP帧封装格式∙LACP报文格式∙以太OAM报文格式∙ERPS帧格式∙LLDP报文格式∙IS-IS报文格式以太帧格式∙Ethernet Ⅱ以太帧∙Netware以太帧格式∙802.3 SAP以太帧∙802.3 LLC SNAP以太帧格式∙ARP/RARP报文格式∙GRE报文格式∙ICMP报文格式∙ICMPv6报文格式∙IGMP报文格式∙IP in IP报文格式∙IP报文格式∙IPv6报文格式∙IPv6 in IP (6to4)报文格式∙MLD报文格式∙OSPF报文格式∙OSPFv3报文格式∙PIM报文格式∙RSVP报文格式∙VRRP报文格式Ethernet Ⅱ以太帧帧格式图1 Ethernet Ⅱ帧格式帧示例QinQ帧格式QinQ报文有固定的格式，就是在802.1Q的标签之上再打一层802.1Q标签，QinQ报文比802.1Q报文多四个字节。

VLAN帧最小帧长为68字节。

帧格式图1 QinQ帧格式帧示例图2 QinQ帧VLAN帧格式帧格式IEEE 802.1Q标准对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag。

VLAN帧最小帧长为64字节。

图1 VLAN帧格式帧示例图2 VLAN帧STP/RSTP/MSTP帧格式STP帧格式图1 STP帧格式RSTP帧格式在BPDU的格式上，除了保证和STP格式基本一致之外，RSTP作了一些小的变化。

一个是在Type字段，配置BPDU类型不再是0而是2，版本号也变成了2。

所以运行STP的交换机收到该类BPDU时会丢弃。

另一个变化是在Flag字段，把原来保留的中间6位使用起来。

这样改变了的配置BPDU叫做RST BPDU。

RSTP Flag字段格式：∙Bit7：TCA∙Bit6：Agreement∙Bit5：Forwarding∙Bit4：Learning∙Bit3和Bit2：端口角色▪00：未知▪01：根端口▪10：Alternate / Backup▪11：指定端口∙Bit1：Proposal∙Bit0：TCMSTP帧格式多生成树协议MSTP是生成树协议的一种，用于消除网络环路，它兼容生成树协议STP和快速生成树RSTP协议，并且弥补了两者的缺陷。

数据报文解码详解本章主要对：数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE 协议、Radius 协议等的解码分析做了简单的描述，目的在于介绍Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。

对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。

1.1 数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。

每一层次有众多协议组成。

Telnet FTP 和e-mail 等TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡如上图所示在Sniffer 的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC ”；网络层对应“IP ”；传输层对应“UDP ”；应用层对对应的是“NETB ”等高层协议。

Sniffer 可以针对众多协议进行详细结构化解码分析。

并利用树形结构良好的表现出来。

1.2 以太报文结构EthernetII 以太网帧结构Ethernet_IIEthernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

IP 网络来说Ethertype 字段承载的时上层协议的类型主要包括0x800为IP 协议，0x806为ARP 协议。

分析以太网数据帧的构成 2009-06-15 11:22 1. 以太网的报文格式如下 2. MAC地址的作用:不同物理主机(唯一的MAC标识)之间的通信地址，标识以太网上的每台主机，需要给每台主机上的网络适配器（网络接口卡）分配一个唯一的通信地址。 3. MAC广播地址的作用:48位全1的地址为MAC广播地址,其作用使主机发送一个ARP或其它广播协议包时同一网内的其它主机均能收到此包. 4. LLC帧报文的格式如下； 5. 仿真编辑器和协议分析器的使用方法:用了很多次基本结构已了解.

以太网数据帧的构成

抓取一个原始IP包 捕获一个数据包并分析数据链路层的帧结构 No. Time Source Destination Protocol Info 2350 703.174591 172.16.77.15 172.16.77.6 IP Fragmented IP protocol (proto=ICMP 0x01, off=1480) [Reassembled in #2393] Frame 2350 (1514 bytes on wire, 1514 bytes captured) Arrival Time: Jun 15, 2009 09:20:09.379091000 [Time delta from previous captured frame: 0.000021000 seconds] [Time delta from previous displayed frame: 0.000021000 seconds] [Time since reference or first frame: 703.174591000 seconds] Frame Number: 2350 Frame Length: 1514 bytes Capture Length: 1514 bytes [Frame is marked: False] [Protocols in frame: eth:ip:data] 分析数据链路层的帧结构 Ethernet II, Src: AsustekC_97:2a:ee (厂家名_后3位16进制数为MAC)(00:13:d4:97:2a:ee)(源MAC, 前6位16进制数代表网络硬件制造商的编号, 后3位16进制数代表该制造商所制造的某个网络产品（如网卡）的系列号), Dst:

实验1以太网链路层帧格式分析实验1 以太网链路层帧格式分析1.1 实验目的和要求? 分析Ethernet V2标准规定的MAC层帧结构； ? 了解IEEE802.3标准规定的MAC 层帧结构； ? 掌握TCP/IP的主要协议和协议的层次结构。

1.2 实验设备安装有Ethereal软件和windows操作系统的微机系统。

1.3 实验内容1、通过对截获帧进行分析，分析和验证Ethernet V2标准和IEEE802.3标准规定的MAC层帧结构，初步了解TCP/IP的主要协议和协议的层次结构。

2、分析以太网数据帧结构1.4 实验步骤：内容一：1. 打开PCA和PCB的Message服务，方法：控制面板――管理工具――服务――找到message，选开启2. 在PCA和PCB上运行Ethereal截获报文，然后进入PCA的Windows命令行窗口，执行如下命令： net send PCB的IP地址“hello”（或者采用ping命令），这是PCA向PCB发送消息的命令，等到PCB显示器上收到消息后，终止截获报文，将截获报文命名为HELLO―学号。

3. 对截获的报文进行分析：捕获窗口显示分为三个部分：数据包列表区、协议树区和十六进制对照区。

找到发送消息的报文并进行分析，研究主窗口中的数据报文列表窗口和协议树窗口信息，填写下表。

此报文类型此报文基本信息（数据报文列表窗口中Information项内容）EthernetⅡ协议树中 Source字段值 Destination字段值Internet Protocol协Source字段值议树中 TCP协议树中 Destination字段值Source Port字段值 Destination Port字段值应用层协议树协议名称包含Hello 的字段名 3、分析此报文信息中，源主机和目的主机的MAC地址分别是多少？内容二：4. 运行Ethereal截获报文5. 打开“命令提示符”窗口，使用“Ping”命令测试本机与网关的连通性。

GOOSE实例报文解析及过程层调试要点石文江;隋珺;朱亮亮【摘要】GOOSE报文快速正确地解析是智能变电站调试的前提,其中ASN.1 BER 编码规划、GOOSE的应用协议描述、GOOSE的工程配置文件是进行链路层以太网GOOSE报文解析的基础.优先级、VLAN、多播、APPID的配置情况、事件序号StNum、发送序号sqNum、测试状态test、配置版本变更confrev、需要配置ndsCom、所有成员allData的正确性校核是智能变电站过程层调试的要点.【期刊名称】《东北电力技术》【年(卷),期】2012(033)003【总页数】5页(P33-37)【关键词】ASN.1 BER;GOOSE;应用协议描述;以太网报文解析【作者】石文江;隋珺;朱亮亮【作者单位】大连供电公司电网调度中心,辽宁大连116011;大连供电公司电网调度中心,辽宁大连116011;大连供电公司电网调度中心,辽宁大连116011【正文语种】中文【中图分类】TM76采用数据集以“发布/订阅”方式进行公共数据交换的GOOSE在智能变电站过程总线上被用于跳合闸命令及状态信息的快速传递，它工作于以太网链路层，直接服务于应用层保护测控等装置。

因此GOOSE报文的正确解析是智能变电站过程层调试和应用软件开发的重要基础;是故障定位的依据;是保障智能变电站可靠运行的重要技术手段。

图1是通过MMSEthereal抓包的GOOSE实例报文。

图1 PCS978主变保护装置GOOSE跳闸报文1 GOOSE信息传输流程发布者 (如 PCS978主变保护装置)的GOOSE控制块GoCB［1］定时根据虚端子映射表更新与IECGoossePdu［2］变量列表成员相对应的数据集，依据 GOOSE 的应用协议描述，经 ASN.1［3］BER［4］编码后将数据以FIFO方式压入发送缓冲区，由网络适配器通过以太网交换机采取多播或单播的形式发送给订阅者 (如主变主一次智能操作箱)。

bpdu报文交互原理-回复BPDU （Bridge Protocol Data Units，桥接协议数据单元）是用于在网络交换机之间进行通信和交互的数据包。

BPDU 报文交互原理是指网络交换机通过发送和接收BPDU 报文，来建立和维护网络拓扑结构，进行网络环路检测和生成最优的转发路径。

在本文中，我将详细讲解BPDU 报文交互的原理和过程，以帮助读者更好地理解和应用于网络环境中。

一、BPDU 报文概述BPDU 报文是以太网帧的一种特殊类型，具有特定的格式和字段。

在网络交换机中，BPDU 报文承载了拓扑信息和配置参数，并通过网络交换机之间的端口进行传输和交互。

BPDU 报文通常用于以下几个方面：1. 网络拓扑创建和维护：通过交换BPDU 报文，网络交换机可以了解到连接的网络拓扑结构，并根据收到的BPDU 报文更新自身的拓扑数据库。

2. 环路检测和消除：通过BPDU 报文，交换机可以检测到与其直接相连的交换机中是否存在环路，并根据相应的算法通过阻塞或禁止某些端口的转发来消除环路。

3. 生成树算法运行：BPDU 报文支持生成树算法，用于选择网络中的最优转发路径，以提高网络的性能和可靠性。

二、BPDU 报文交互原理BPDU 报文交互是通过发送和接收BPDU 报文来实现的，其过程由以下几个步骤组成：1. BPDU 发送网络交换机每隔一定时间会发送BPDU 报文，以广播的方式发送到网络中的所有端口。

BPDU 报文是通过MAC 地址为全1 的以太网广播地址（FF:FF:FF:FF:FF:FF）进行发送的。

BPDU 报文中的源MAC 地址为发送交换机的MAC 地址。

2. BPDU 接收其他网络交换机接收到BPDU 报文后，会进行一些处理操作。

首先，交换机根据BPDU 报文中的源MAC 地址识别发送它的交换机，并检查BPDU 报文中的其他字段，如协议标识、版本号等。

之后，交换机会根据其端口的角色和状态，决定如何处理接收到的BPDU 报文。