Lab - Use Wireshark to Examine Ethernet Frames Topology

Objectives
Part 1: Examine the Header Fields in an Ethernet II Frame {}'
Part 2: Use Wireshark to Capture and Analyze Ethernet Frames

Background / Scenario
Cuando los protocolos de la capa superior se comunican entre sí, los datos fluyen por los sistemas abiertos

La interconexión (OSI) se encapsula y se encapsula en una trama de capa 2. La composición del marco
depende del tipo de acceso a los medios. Por ejemplo, si los protocolos de la capa superior son TCP e IP y
el acceso a los medios es Ethernet, la encapsulación de trama de Capa 2 será Ethernet II. Esto es típico
para un entorno LAN.

Al aprender sobre los conceptos de la Capa 2, es útil analizar la información del encabezado del marco. En la
primera parte de esta práctica de laboratorio, revisará los campos contenidos en un marco Ethernet II. En la
Parte 2, usará Wireshark para capturar y analizar campos de encabezado de trama Ethernet II para tráfico
local y remoto.

Required Resources
• 1 PC (Windows with internet access and with Wireshark installed)

Instructions Part 1: Examine the Header Fields in an Ethernet II Frame

En la Parte 1, examinará los campos y el contenido del encabezado en un marco Ethernet II. Se utilizará una
captura de Wireshark para examinar los contenidos en esos campos.
Step 1: Review the Ethernet II header field descriptions and lengths.

Destination Source Frame

Address Address Type
Preamble Data FCS

8 Bytes 6 Bytes 6 Bytes 2 Bytes 46 – 1500 Bytes 4 Bytes

Step 2: Examine the network configuration of the PC.
En este ejemplo, la dirección IP del host de esta PC es 192.168.1.147 y la puerta de enlace
predeterminada tiene una dirección IP de 192.168.1.1.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 1 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
C:\> ipconfig /all

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
Physical Address. . . . . . . . . : F0-1F-AF-50-FD-C8
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::58c5:45f2:7e5e:29c2%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.147(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Friday, September 6, 2019 11:08:36 AM
Lease Expires . . . . . . . . . . : Saturday, September 7, 2019 11:08:36 AM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
<output omitted>

Step 3: Examine Ethernet frames in a Wireshark capture.

Las capturas de pantalla de la captura de Wireshark a continuación muestran los paquetes generados por un
ping emitido desde un host de PC a su puerta de enlace predeterminada. Se ha aplicado un filtro a Wireshark
para ver solo los protocolos ARP e ICMP. ARP significa protocolo de resolución de direcciones. ARP es un
protocolo de comunicación que se utiliza para determinar la dirección MAC que está asociada con la
dirección IP. La sesión comienza con una consulta ARP y una respuesta para la dirección MAC del enrutador
de puerta de enlace, seguida de cuatro solicitudes de ping y respuestas.

Esta captura de pantalla resalta los detalles del marco para una solicitud ARP.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 2 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

Esta captura de pantalla resalta los detalles del marco para una respuesta ARP

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 3 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

Step 4: Examine the Ethernet II header contents of an ARP request.

La siguiente tabla toma el primer cuadro en la captura de Wireshark y muestra los datos en los campos de
encabezado de Ethernet II.

Field Value Description

Preamble Not shown in capture This field contains synchronizing bits, processed by the
NIC hardware.

Destination Address Broadcast (ff:ff:ff:ff:ff:ff) Layer 2 addresses for the frame. Each address is 48 bits
long, or 6 octets, expressed as 12 hexadecimal digits, 0-
9,A-F.
A common format is 12:34:56:78:9A:BC.
Source Address Netgear_99:c5:72 The first six hex numbers indicate the manufacturer of the
(30:46:9a:99:c5:72) network interface card (NIC), the last six hex numbers are
the serial number of the NIC.
The destination address may be a broadcast, which
contains all ones, or a unicast. The source address is
always unicast.
Frame Type 0x0806 For Ethernet II frames, this field contains a hexadecimal
value that is used to indicate the type of upper-layer
protocol in the data field. There are numerous upper-
layer protocols supported by Ethernet II. Two common
frame types are these: Value Description
0x0800 IPv4 Protocol
0x0806 Address Resolution Protocol (ARP)

Data ARP Contains the encapsulated upper-level protocol. The data

field is between 46 – 1,500 bytes.

FCS Not shown in capture Frame Check Sequence, used by the NIC to identify errors
during transmission. The value is computed by the sending
device, encompassing frame addresses, type, and data
field. It is verified by the receiver.
¿Qué tiene de importante el contenido del campo de dirección de destino?

Los Host que hay en la LAN rebirán este marco de transmición y el host con la dirección IP
192.168.1.1(puerta de enlace predeterminsada) enviará una respuesta de unidifusión a la fuente (host de
PC). Esta respuesta contiene la dirección MAC de la NIC de la puerta de enlace predeterminada.

¿Por qué la PC envía un ARP de difusión antes de enviar la primera solicitud de ping?

Porque antes de que la PC envíe una solicitud de ping a un host, necesita determinar la dirección MAC de
destino antes de poder construir el encabezado de marco para esa solicitud de ping. La transmisión ARP se
usa para solicitar la dirección MAC del host con la dirección IP contenida en el ARP.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 4 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
¿Cuál es la dirección MAC de la fuente en el primer cuadro?
Es 30:46:9a:99:c5:72
¿Cuál es el ID de proveedor (OUI) de la NIC de origen en la respuesta ARP?
Es Netgear r answers here.
¿Qué parte de la dirección MAC es la OUI?
Los primeros tres octetos de la dirección MAC indican la OUI
¿Cuál es el número de serie NIC de la fuente?
Es 99:c5:72 your answers here.

Part 2: Use Wireshark to Capture and Analyze Ethernet Frames

En la Parte 2, usará Wireshark para capturar tramas Ethernet locales y remotas. Luego examinará la
información contenida en los campos del encabezado del marco.

Step 1: Determine the IP address of the default gateway on your PC.

Open a Windows command prompt.

Abra una ventana del símbolo del sistema y emita el comando ipconfig.
¿Cuál es la dirección IP de la puerta de enlace predeterminada de la PC?

ose a Windows command prompt.

Step 2: Start capturing traffic on your PC NIC.

a. Abra Wireshark para comenzar la captura de datos.

b. Observe el tráfico que aparece en la ventana de la lista de paquetes.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 5 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

Step 3: Filter Wireshark to display only ICMP traffic.

Puede usar el filtro en Wireshark para bloquear la visibilidad del tráfico no deseado. El filtro no bloquea la
captura de datos no deseados; solo filtra lo que desea mostrar en la pantalla. Por ahora, solo se mostrará el
tráfico ICMP.In the Wireshark Filter box, type icmp. The box should turn green if you typed the filter correctly.
Si el cuadro es verde, haga clic en Aplicar (la flecha hacia la derecha) para aplicar el filtro.

Step 4: From the command prompt window, ping the default gateway of your PC.
Desde la ventana de comandos, haga ping a la puerta de enlace predeterminada utilizando la
Open a Windowt.

dirección IP que registró

Close Windows command prompt.

Step 5: Stop capturing traffic on the NIC.

Haga clic en el icono Detener captura de paquetes para detener la captura de tráfico.

Step 6: Examine the first Echo (ping) request in Wireshark.

La ventana principal de Wireshark se divide en tres secciones: el panel de lista de paquetes (arriba), el panel
de Detalles del paquete (centro) y el panel de Bytes de paquetes (abajo). Si seleccionó la interfaz correcta
para la captura de paquetes anteriormente, Wireshark debería mostrar la información ICMP en el panel de la
lista de paquetes de Wireshark.
a. En el panel de la lista de paquetes (sección superior), haga clic en el primer cuadro de la lista. Debería
ver la solicitud de eco (ping) debajo del encabezado Información. La línea ahora debería estar resaltada.

b. Examine la primera línea en el panel de detalles del paquete (sección central). Esta línea muestra la
longitud del marco.

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 6 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
c. La segunda línea en el panel de detalles del paquete muestra que es una trama de Ethernet II. También
se muestran las direcciones MAC de origen y destino.

¿Cuál es la dirección MAC de la NIC de la PC?

54: ab: 3a:5b:ad:04
¿Cuál es la dirección MAC de la puerta de enlace
predeterminada?
b0: b2:8f:c2:74: bb.
d. Puede hacer clic en el signo mayor que (>) al comienzo de la segunda línea para obtener más
información sobre la trama de Ethernet II.
Question:

¿Qué tipo de marco se muestra?

IPv4 (0x0800)

e. The last two lines displayed in the middle section provide information about the data field of the frame.
Notice that the data contains the source and destination IPv4 address information.

Questions:

What is the source IP address?

192.168.1.70
What is the destination IP address?
192.168.1.1Type your answers here.
f. You can click any line in the middle section to highlight that part of the frame (hex and ASCII) in the
Packet Bytes pane (bottom section). Click the Internet Control Message Protocol line in the middle
section and examine what is highlighted in the Packet Bytes pane.
Question:

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 7 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames

¿Qué deletrean los dos últimos octetos resaltados?

Type your answers here.

g. Click the next frame in the top section and examine an Echo reply frame. Notice that the source and
destination MAC addresses have reversed, because this frame was sent from the default gateway router
as a reply to the first ping.

Question:

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 8 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
What device and MAC address is displayed as the destination address?
54:ab:3a:5b:ad:04Type your answers here.
Step 7: Capture packets for a remote host.
a. Click the Start Capture icon to start a new Wireshark capture. You will receive a popup window asking if
you would like to save the previous captured packets to a file before starting a new capture. Click
Continue without Saving.
Open a Windows command prompt.

b. In a command prompt window, ping www.cisco.com.

Close a Windowsommand prompt.

c. Stop capturing packets.

d. Examine the new data in the packet list pane of Wireshark.

Questions:

En el primer marco de solicitud de eco (ping), ¿cuáles son las direcciones MAC de origen y destino?

Source:
54:ab:3a:5b:ad:04 Type your answers here.
Destination:
b0:b2:8f:c2:74:bbyour answers here.
¿Cuáles son las direcciones IP de origen y destino contenidas en el campo de datos de la trama?

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 9 of 10 www.netacad.com
Lab - Use Wireshark to Examine Ethernet Frames
Source:
192.168.1.70 your answers here.
Destination:
23.202.91.188
Type your answers here.
Compare estas direcciones con las direcciones que recibió en el Paso 6. La única dirección que cambió
es la dirección IP de destino. ¿Por qué cambió la dirección IP de destino, mientras que la dirección MAC
de destino se mantuvo igual?

La trama de capa 2 nunca estuvo sola porque cuando hubo un problema de tráfico, lo envió a un host
remoto, usarán la puerta de enlace que la MAC agrega para el destino de la trama, la puerta de enlace
predeterminada recibe el paquete, elimina la información de trama de la capa 2 del paquete y luego crea
un nuevo encabezado de trama con la dirección MAC, este proceso continúa hasta que el paquete
llega.

Reflection Question

Wireshark no muestra el campo de preámbulo de un encabezado de cuadro. ¿Qué contiene el preámbulo?

Contiene siete objetos de secuencias 1010 alternas y un objeto que señala el comienzo del cuadro
101010111234567 seleccionado de secuencias 1010 alternas y 1 octeto las señales del comienzo del cuadro
10101011

Type your answers here.

End of Document

© 2013 - 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Page 10 of 10 www.netacad.com