以太网帧格式详解

一、 以太网数据帧的格式分析

大家都知道我们目前的局域网大多数是以太网，但以太网有多种标准，其数据帧有多种格式，恐怕有许多人不是太清楚，本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。

以太网这个术语一般是指数字设备公司（DigitalEquipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本，第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了）。它是目前TCP/IP网络采用的主要的局域网技术。它采用一种称作CSMA/CD的媒体接入方法，其意思是带冲突检测的载波侦听多路接入（Carrier Sense, Multiple Access with CollisionDetection）。它的速率为10 Mb/s，地址为48 bit。

1985年，IEEE（电子电气工程师协会）802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。不幸的是，802.2和802.3定义了一个与以太网不同的帧格式，加上1983年Novell为其Netware开发的私有帧，这些给以太网造成了一定的混乱，也给我们学习以太网带来了一定的影响。

1、通用基础

数据链路层头（Header）是数据链路层的控制信息的长度不是固定的，根据以太网数据帧的格式的不同而不同，那么判断IEEE802.3、IEEE802.3 SNAP、Ethernet Version2、Netware 802.3“Raw”这些数据帧的最主要依据也源于Header的变化。

从Sniffer捕捉数据包中也可以看出，Sniffer捕捉数据包的时候是掐头去尾的，不要前面的前导码，也丢弃后面的CRC校验（注意它只是不在Decode里显示该区域，但并不代表它不去做数据包CRC校验），这就是很多人困惑为什么Sniffer捕捉到的数据包长度跟实际长度不相符的原因。那么，Sniffer是如何来判断这些不同类型的以太网格式呢？

Sniffer可以判断出不同的以太网格式，这里需要注意的是，Sniffer在数据包解码时有自己的格式，所以有Offset之说，offset ØE是指在SnifferHex解码窗口中从左向右第15位的数值。大家如果有点发懵的话，没有关系，看完后面的格式分析后再来分析前面提到的，相信一定能够明白?

下面我们通过一些具体的数据包来说明各种以太网格式的具体区别。

2、Ethernet Version2

以太网版本2是先于IEEE标准的以太网版本。

从数据包中可以看出，EthernetV2通过在DLC头中2个字节的类型（Type）字段来辨别接收处理。类型字段是用来指定上层协议的（如0800指示IP、0806指示ARP等），它的值一定是大于05FF的，它提供无连接服务的，本身不控制数据（DATA）的长度，它要求网络层来确保数据字段的最小包长度（46字节）。

Sniffer捕获的Ethernet V2帧的解码，可以看到在DLC层，源DLC地址后紧跟着就是以太网类型（Etehertype）值0800，代表上层封装的是IP报文，0800大于05FF，因而我们可以断定它是Ethernet V2的帧。

3、IEEE802.3

IEEE802.3把DLC层分隔成明显的两个子层：MAC层和LLC层，其中MAC层主要是指示硬件目的地址和源地址。LLC层用来提供一些服务：

– 通过SAP地址来辨别接收和发送方法

– 兼容无连接和面向连接服务

– 提供子网访问协议（Sub-network Access Protocol，SNAP），类型字段即由它的首部给出。

MAC层要保证最小帧长度不小于64字节，如果数据不满足64字节长度就必须进行填充。

是Sniffer捕获的IEEE802.3帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0026，它小于05FF，可以肯定它不是Ethernet V2的帧，而接下来的Offset0E处的值“4242”（代表DSAP和SSAP），既不是Novell 802.3 “Raw”的特征值“FFFF”，也不是IEEE 802.3SNAP的特征值“AAAA”，因此它肯定是一个IEEE802.3的帧。

4、IEEE802.3 SNAP

SNAP (Sub-Network AccessProtocol)子网访问协议，是逻辑链路控制（Logical LinkControl）的一个子集，它允许协议不用通过服务访问点（SAP）即可实现IEEE兼容的MAC层功能，因此它在DSAP和SSAP域里的值是固定的（AAAA）。也正源于此，它需要额外提供5个字节的头来指定接收方法，3个字节标识厂商代码，2个字节标识上层协议。

其MAC层保证数据帧长度不小于64字节，不足的话需要进行数据填充。

是Sniffer捕获的IEEE802.3SNAP帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0175，它小于05FF，可以肯定它不是Ethernet V2的帧，而接下来的Offset 0E处的值“AAAA”（代表DSAP和SSAP），这是IEEE 802.3SNAP的特征值“AAAA”，因此可以断定它是一个IEEE802.3 SNAP的帧。

5、Novell Netware 802.3 “Raw”

虽然它的产生先于IEEE802.3规范，但已成为IEEE802.3规范的一部分。它仅使用DLC层的下半部，而不使用LLC。

802.3 “Raw”帧通过在DLC头中2个字节的长度（Length）字段来标记数据帧长度，而在长度字段后紧跟着就是两个字节的十六进制值FFFF，它是用来标识IPX协议头的开始。为了确保最小数据帧长度为64字节，MAC层会进行填充数据区域来确保最小长度。

在所有工作站都使用同一种数据帧类型情况下不会有什么问题，但如果是在混合以太网帧类型环境中，Novell的这种以太网帧会造成负面影响：当Novell发出广播帧时，其FF字段正好是IEEE802.3帧中的服务访问点（SAP）域，它的“FF”值代表着广播SAP，因此所有的工作站（不管是不是Netware工作站）都会拷贝，这会造成不必要的广播影响。

Sniffer捕获的Netware 802.3“RAW”帧的解码，可以看到在DLC层源地址后紧跟着就是802.3的长度（Length）字段0120，它小于05FF，可以肯定它不是Ethernet V2的帧，而接下来的Offset 0E处的值“FFFF”（代表IPX协议的开始），这是Netware 802.3“Raw”的特征值“FFFF”，因此可以断定它是一个Novell 802.3 “Raw”的帧。

二、 Ethernet V2帧与IEEE 802.3帧的比较

因为这两种帧是我们在现在的局域网里最常见的两种帧，因此，我们对它们进行一些比较。

Ethernet V2可以装载的最大数据长度是1500字节，而IEEE802.3可以装载的最大数据是1492字节（SNAP）或是1497字节; Ethernet V2不提供MAC层的数据填充功能，而IEEE802.3不仅提供该功能，还具备服务访问点（SAP）和SNAP层，能够提供更有效的数据链路层控制和更好的传输保证。那么我们可以得出这样的结论：Ethernet V2比IEEE802.3更适合于传输大量的数据，但EthernetV2缺乏数据链路层的控制，不利于传输需要严格传输控制的数据，这也正是IEEE802.3的优势所在，越需要严格传输控制的应用，越需要用IEEE802.3或SNAP来封装，但IEEE802.3也不可避免的带来数据装载量的损失，因此该格式的封装往往用在较少数据量承载但又需要严格控制传输的应用中。

在实际应用中，我们会发现，大多数应用的以太网数据包是EthernetV2的帧（如HTTP、FTP、SMTP、POP3等应用），而交换机之间的BPDU（桥协议数据单元）数据包则是IEEE802.3的帧，VLANTrunk协议如802.1Q和Cisco的CDP（思科发现协议）等则是采用IEEE802.3SNAP的帧。大家有兴趣的话，可以利用Sniffer等协议分析工具去捕捉数据包，然后解码查看是不是这样的。