Wireshark实验

数据链路层

实作一 熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

目的MAC：7a:32:b5:3a:c3:af(前面3个字节分配给厂商)
源MAC：b6:fa:db:8e:e3:4f(前面3个字节分配给厂商)
类型：IPv4网络

实作二 了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

发出帧的目的MAC以及返回帧的源MAC地址都是旁边计算机的MAC地址。
这个MAC地址是所ping的旁边的计算机的。

然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

发出帧的目的 MAC 地址是：b6:fa:db:8e:e3:4f
返回帧的源 MAC 地址是：b6:fa:db:8e:e3:4f
这个 MAC 地址是主机所在的子网的网关。

再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

发出帧的目的 MAC 地址是：7a:32:b5:3a:c3:af
返回帧的源 MAC 地址是：7a:32:b5:3a:c3:af
这个 MAC 地址是主机所在的子网的网关。

通过以上的实验，你会发现：
访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？
同一子网：假设主机A访问本子网的主机B时，主机A以自己的IP为源地址，B的IP为目标地址封装IP数据包，同时使用A自己的网卡接口的子网掩码和B的IP进行与运算，如果网络号相同就直接发送出去。但接口在发送时还需要将IP数据包封装成数据帧，这需要两台主机的MAC地址。如果A知道B的MAC，则直接使用B 的MAC地址作为数据帧中的目的地址，如果不知道则向网络中发送ARP广播，从而获得B的MAC地址完成数据帧的封装。

不同子网：当主机A使用掩码和主机B的IP进行与运算后发现两个IP不在同一子网，主机A会将数据包丢给网关。封装数据帧时，主机A需要知道B的MAC地址，但B不在该网络，所以只能有网关的ARP代理功能实现，所以主机A得到的并不是B的MAC地址，而是主机A所在子网的网关的MAC地址，所以A在数据帧中封装目的地址为本地网关。接下来从接口发送出去，当数据到达网关，网关会读取数据包中的目的IP，并根据目的IP进行转发，在转发时数据包中的目的IP不变，但数据帧中的源MAC地址和目的MAC地址都会发生变化。