Lab - Use Wireshark to Examine Ethernet Frames Topology

Objectives
Part 1: Examine the Header Fields in an Ethernet II Frame {}'
Part 2: Use Wireshark to Capture and Analyze Ethernet Frames

Background / Scenario
Cuando los protocolos de la capa superior se comunican entre sí, los datos fluyen por los sistemas abiertos

La interconexión (OSI) se encapsula y se encapsula en una trama de capa 2. La composición del marco
depende del tipo de acceso a los medios. Por ejemplo, si los protocolos de la capa superior son TCP e IP y el
acceso a los medios es Ethernet, la encapsulación de trama de Capa 2 será Ethernet II. Esto es típico para
un entorno LAN.

Al aprender sobre los conceptos de la Capa 2, es útil analizar la información del encabezado del marco. En la
primera parte de esta práctica de laboratorio, revisará los campos contenidos en un marco Ethernet II. En la
Parte 2, usará Wireshark para capturar y analizar campos de encabezado de trama Ethernet II para tráfico
local y remoto.

Required Resources
• 1 PC (Windows with internet access and with Wireshark installed)

Instructions Part 1: Examine the Header Fields in an Ethernet II Frame

En la Parte 1, examinará los campos y el contenido del encabezado en un marco Ethernet II. Se utilizará una
captura de Wireshark para examinar los contenidos en esos campos.
Step 1: Review the Ethernet II header field descriptions and lengths.

Destination Source Frame

Address Address Type
Preamble Data FCS

8 Bytes 6 Bytes 6 Bytes 2 Bytes 46 – 1500 Bytes 4 Bytes

Step 2: Examine the network configuration of the PC.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 1 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
En este ejemplo, la dirección IP del host de esta PC es 192.168.1.147 y la puerta de enlace
predeterminada tiene una dirección IP de 192.168.1.1.
C:\> ipconfig /all

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
Physical Address. . . . . . . . . : F0-1F-AF-50-FD-C8
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::58c5:45f2:7e5e:29c2%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.147(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Friday, September 6, 2019 11:08:36 AM
Lease Expires . . . . . . . . . . : Saturday, September 7, 2019 11:08:36 AM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
<output omitted>

Step 3: Examine Ethernet frames in a Wireshark capture.

Las capturas de pantalla de la captura de Wireshark a continuación muestran los paquetes generados por un
ping emitido desde un host de PC a su puerta de enlace predeterminada. Se ha aplicado un filtro a Wireshark
para ver solo los protocolos ARP e ICMP. ARP significa protocolo de resolución de direcciones. ARP es un
protocolo de comunicación que se utiliza para determinar la dirección MAC que está asociada con la

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 2 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
dirección IP. La sesión comienza con una consulta ARP y una respuesta para la dirección MAC del enrutador
de puerta de enlace, seguida de cuatro solicitudes de ping y respuestas.

Esta captura de pantalla resalta los detalles del marco para una solicitud ARP.

Esta captura de pantalla resalta los detalles del marco para una respuesta ARP

Step 4: Examine the Ethernet II header contents of an ARP request.

La siguiente tabla toma el primer cuadro en la captura de Wireshark y muestra los datos en los campos de
encabezado de Ethernet II.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 3 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

Field Value Description

Preamble Not shown in capture This field contains synchronizing bits, processed by the
NIC hardware.

Destination Address Broadcast (ff:ff:ff:ff:ff:ff) Layer 2 addresses for the frame. Each address is 48 bits
long, or 6 octets, expressed as 12 hexadecimal digits, 0-

9,A-F.
A common format is 12:34:56:78:9A:BC.
Source Address Netgear_99:c5:72
(30:46:9a:99:c5:72) The first six hex numbers indicate the manufacturer of the
network interface card (NIC), the last six hex numbers are
the serial number of the NIC.
The destination address may be a broadcast, which
contains all ones, or a unicast. The source address is
always unicast.
Frame Type 0x0806 For Ethernet II frames, this field contains a hexadecimal
value that is used to indicate the type of upper-layer
protocol in the data field. There are numerous upperlayer
protocols supported by Ethernet II. Two common frame
types are these: Value Description
0x0800 IPv4 Protocol
0x0806 Address Resolution Protocol (ARP)

Data ARP Contains the encapsulated upper-level protocol. The data

field is between 46 – 1,500 bytes.

FCS Not shown in capture Frame Check Sequence, used by the NIC to identify errors
during transmission. The value is computed by the sending
device, encompassing frame addresses, type, and data
field. It is verified by the receiver.

¿Qué tiene de importante el contenido del campo de dirección de destino?

Los Host que hay en la LAN rebirán este marco de transmición y el host con la dirección IP
192.168.1.1(puerta de enlace predeterminsada) enviará una respuesta de unidifusión a la fuente (host de PC).
Esta respuesta contiene la dirección MAC de la NIC de la puerta de enlace predeterminada.

¿Por qué la PC envía un ARP de difusión antes de enviar la primera solicitud de ping?

Porque antes de que la PC envíe una solicitud de ping a un host, necesita determinar la dirección MAC de
destino antes de poder construir el encabezado de marco para esa solicitud de ping. La transmisión ARP se
usa para solicitar la dirección MAC del host con la dirección IP contenida en el ARP.
¿Cuál es la dirección MAC de la fuente en el primer cuadro? Es
30:46:9a:99:c5:72

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 4 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
¿Cuál es el ID de proveedor (OUI) de la NIC de origen en la respuesta ARP?
Es Netgear r answers here.
¿Qué parte de la dirección MAC es la OUI?
Los primeros tres octetos de la dirección MAC indican la OUI ¿Cuál
es el número de serie NIC de la fuente?
Es 99:c5:72 your answers here.

Part 2: Use Wireshark to Capture and Analyze Ethernet Frames

En la Parte 2, usará Wireshark para capturar tramas Ethernet locales y remotas. Luego examinará la
información contenida en los campos del encabezado del marco.

Step 1: Determine the IP address of the default gateway on your PC.

Open a Windows command prompt.

Abra una ventana del símbolo del sistema y emita el comando ipconfig.
¿Cuál es la dirección IP de la puerta de enlace predeterminada de la PC?

ose a Windows command prompt.

Step 2: Start capturing traffic on your PC NIC.

a. Abra Wireshark para comenzar la captura de datos.

b. Observe el tráfico que aparece en la ventana de la lista de paquetes.

Step 3: Filter Wireshark to display only ICMP traffic.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 5 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
Puede usar el filtro en Wireshark para bloquear la visibilidad del tráfico no deseado. El filtro no bloquea la
captura de datos no deseados; solo filtra lo que desea mostrar en la pantalla. Por ahora, solo se mostrará el
tráfico ICMP.In the Wireshark Filter box, type icmp. The box should turn green if you typed the filter correctly.
Si el cuadro es verde, haga clic en Aplicar (la flecha hacia la derecha) para aplicar el filtro.

Step 4: From the command prompt window, ping the default gateway of your PC.
Desde la ventana de comandos, haga ping a la puerta de enlace predeterminada utilizando la
Open a Windowt.

dirección IP que registró

Close Windows command prompt.

Step 5: Stop capturing traffic on the NIC.

Haga clic en el icono Detener captura de paquetes para detener la captura de tráfico.

Step 6: Examine the first Echo (ping) request in Wireshark.

La ventana principal de Wireshark se divide en tres secciones: el panel de lista de paquetes (arriba), el panel
de Detalles del paquete (centro) y el panel de Bytes de paquetes (abajo). Si seleccionó la interfaz correcta
para la captura de paquetes anteriormente, Wireshark debería mostrar la información ICMP en el panel de la
lista de paquetes de Wireshark.
a. En el panel de la lista de paquetes (sección superior), haga clic en el primer cuadro de la lista. Debería
ver la solicitud de eco (ping) debajo del encabezado Información. La línea ahora debería estar resaltada.

b. Examine la primera línea en el panel de detalles del paquete (sección central). Esta línea muestra la
longitud del marco.

c. La segunda línea en el panel de detalles del paquete muestra que es una trama de Ethernet II. También
se muestran las direcciones MAC de origen y destino.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 6 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

¿Cuál es la dirección MAC de la NIC de la PC?

54: ab: 3a:5b:ad:04
¿Cuál es la dirección MAC de la puerta de enlace
predeterminada?
b0: b2:8f:c2:74: bb.
d. Puede hacer clic en el signo mayor que (>) al comienzo de la segunda línea para obtener más información
sobre la trama de Ethernet II.
Question:

¿Qué tipo de marco se muestra?

IPv4 (0x0800)

e.
Las dos últimas líneas que se muestran en la sección central proporcionan información sobre el campo
de datos del marco. Observe que los datos contienen la información de la dirección IPv4 de origen y
destino.

Questions:

What is the source IP address?

192.168.1.70
What is the destination IP address?
192.168.1.1Type your answers here.
Puede hacer clic en cualquier línea en la sección central para resaltar esa parte del marco (hexadecimal y ASCII) en
el panel Bytes de paquete (sección inferior). Haga clic en la línea Protocolo de mensajes de control de Internet en la
sección central y examine lo que está resaltado en el panel Bytes de paquetes.
¿Qué deletrean los dos últimos octetos resaltados?

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 7 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

Type your answers here.

Haga clic en el siguiente cuadro en la sección superior y examine un cuadro de respuesta de eco. Tenga en cuenta
que las direcciones MAC de origen y destino se han invertido, porque esta trama se envió desde el enrutador de
puerta de enlace predeterminado como respuesta al primer ping.

Question:

¿Qué dispositivo y dirección MAC se muestran como la dirección de destino?

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 8 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
54:ab:3a:5b:ad:04Type your answers here.
Step 7: Capture packets for a remote host.
a. Haga clic en el icono Iniciar captura para iniciar una nueva captura de Wireshark. Recibirá una ventana
emergente que le preguntará si desea guardar los paquetes capturados anteriores en un archivo antes
de comenzar una nueva captura. Haga clic en Continuar sin guardar.
Open a Windows command prompt.

b. In a command prompt window, ping www.cisco.com.

Close a Windows ommand prompt. c. Stop capturing packets.

d.
Examine the new data in the packet list pane of Wireshark.
Questions:

En el primer marco de solicitud de eco (ping), ¿cuáles son las direcciones MAC de origen y destino?

Source:
54:ab:3a:5b:ad:04 Type your answers here.
Destination:
b0:b2:8f:c2:74:bbyour answers here.
¿Cuáles son las direcciones IP de origen y destino contenidas en el campo de datos de la trama?

Source:
192.168.1.70 your answers here.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 9 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
Destination:
23.202.91.188
Type your answers here.
Compare estas direcciones con las direcciones que recibió en el Paso 6. La única dirección que cambió
es la dirección IP de destino. ¿Por qué cambió la dirección IP de destino, mientras que la dirección MAC
de destino se mantuvo igual?

La trama de capa 2 nunca estuvo sola porque cuando hubo un problema de tráfico, lo envió a un host
remoto, usarán la puerta de enlace que la MAC agrega para el destino de la trama, la puerta de enlace
predeterminada recibe el paquete, elimina la información de trama de la capa 2 del paquete y luego crea
un nuevo encabezado de trama con la dirección MAC, este proceso continúa hasta que el paquete llega.

Reflection Question
Wireshark no muestra el campo de preámbulo de un encabezado de cuadro. ¿Qué contiene el preámbulo?
Contiene siete objetos de secuencias 1010 alternas y un objeto que señala el comienzo del cuadro
101010111234567 seleccionado de secuencias 1010 alternas y 1 octeto las señales del comienzo del cuadro
10101011

Type your answers here.

End of Document

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 10 of 10 www.netacad.com