三、用sniffer捕帧

　　局域网的基本协议已经讲完，现在该动动手了。

　　下面是我用sniffer捕的几个帧。
　　ARP帧：

　　DNS的包：

　　HTTP的包：

　　通过上面所捕获的帧，相信大家对网络的分层应该会有一个比较深的理解。我所展开的是数据链路层的包头。

　　对照上面的帧格式，我们可以看到，有目的地址，有源地址，有类型，从IP开始就属于
　　信息字段了。姨，不对呀，怎么没有前导和SFD？当然，这是用来同步的，对协议分析没有意
　　义，包括FCS，所以去掉了。

　　可是，不对啊？没错，眼尖的朋友发现了，哈，都是以太网第二版的帧，看上面字段
　　“Ethertype=0800(ip)”.这是怎么回事？不是说现在都是802。3的，至少也是802。2的嘛？怎么
　　还用以太网V2？那么打包成何种帧是由哪个决定的？

　　其实这个问题我当时也糊了，而且很多人也都不是特别的清楚，后来跟我们老师沟通后这么认为：打包成何种帧一般是由操作系统决定的，在微软的OS里边，其默认都会打包成以太网第二版的（可以改），这并不是说网络环境变成10M了，因为现在这个以太网第二版应该也是支持100M的，而在netware 环境里面，通常都默认是802。2或802。3，具体2还是3，就要看netware版本了，一般来讲，运行低于Netware 3.12版本的网络的缺省帧类型是802。3。

　　咱就说到这了，当然不敢说完全正确，只希望能让大家共同交流，所以欢迎大家能够指出我所不对的地方，共同进步。