Práctica de laboratorio: Uso de Wireshark para

examinar las tramas de Ethernet

Topología

Objetivos
Parte 1: Examinar los campos de encabezado de una trama de
Ethernet II Parte 2: Utilizar Wireshark para capturar y analizar
tramas de Ethernet

Aspectos básicos/situación
Cuando los protocolos de capa superior se comunican entre sí, los datos fluyen por las capas de
interconexión de sistemas abiertos (OSI) y se encapsulan en una trama de capa 2. La
composición de la trama depende del tipo de acceso al medio. Por ejemplo, si los protocolos de
capa superior son TCP e IP, y el acceso a los medios es Ethernet, el encapsulamiento de tramas
de capa 2 es Ethernet II. Esto es típico para un entorno LAN.
Al aprender sobre los conceptos de la capa 2, es útil analizar la información del encabezado de la
trama. En la primera parte de esta práctica de laboratorio, revisará los campos que contiene una
trama de Ethernet II. En la parte 2, utilizará Wireshark para capturar y analizar campos de
encabezado de tramas de Ethernet II de tráfico local y remoto.

Recursos necesarios
 1 PC (Windows con acceso a Internet y Wireshark instalado)

© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de
 Parte 1: Examinar los campos de encabezado de una trama de
Ethernet II
En la parte 1, examinará los campos de encabezado y el contenido de una trama de Ethernet II.
Se utilizará una captura de Wireshark para examinar el contenido de esos campos.

Paso 1: Revisar las descripciones y longitudes del campo del encabezado de Ethernet II

Direcci Direcci Tipo

Preámbu ón de ón de de Datos FCS
lo destino origen trama

8 bytes 6 bytes 6 bytes 2 bytes 46 a 1500 4

bytes bytes

Paso 2: Examinar la configuración de red de la PC

En este ejemplo, la dirección IP de este equipo host es 192.168.1.147, y el gateway predeterminado
tiene la dirección IP 192.168.1.1.

Paso 3: Examinar las tramas de Ethernet en una captura de Wireshark

En la siguiente captura de Wireshark, se muestran los paquetes generados por un ping que se
hace de un equipo host a su gateway predeterminado. Se ha aplicado un filtro a Wireshark para
ver solo los protocolos ARP e ICMP. ARP significa protocolo de resolución de direcciones. ARP
es un protocolo de comunicación que se utiliza para determinar la dirección MAC que está
asociada con la dirección IP. La sesión comienza con una consulta ARP y una respuesta para la
dirección MAC del enrutador de puerta de enlace, seguida de cuatro solicitudes de ping y
respuestas.
Esta captura de pantalla resalta los detalles del marco para una solicitud ARP.
© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de
Esta captura de pantalla resalta los detalles del marco para una respuesta A

© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de
Práctica de laboratorio: Uso de Wireshark para examinar las tramas de Ethernet

Paso 4: Examinar el contenido del encabezado de Ethernet II de una solicitud de ARP.

En la siguiente tabla, se toma la primera trama de la captura de Wireshark y se muestran los
datos de los campos de encabezado de Ethernet II.

Cam Val Descripci

po or ón
Preámbulo No se muestra en Este campo contiene bits de sincronización, procesados
la captura. por el hardware de la NIC.
Dirección de destino Broadcast Direcciones de capa 2 para la trama. Cada dirección
(ff:ff:ff:ff:ff:ff) tiene una longitud de 48 bits, o 6 octetos, expresada
(Difusión como
[ff:ff:ff:ff:ff:ff]) 12 dígitos hexadecimales (0-9, A-F).
Dirección de origen BelkinIn_9f:6b:8 Un formato común es 12:34:56:78:9A:BC.
c Los primeros seis números hexadecimales indican el
(14:91:82:9f:6b: fabricante de la tarjeta de interfaz de red (NIC), y los
8c) últimos seis números son el número de serie de la NIC.
La dirección de destino puede ser de difusión, que
contiene todos números uno, o de unidifusión. La
dirección de origen siempre es de unidifusión.
Tipo de trama 0x0806 Para las tramas de Ethernet II, este campo contiene un
valor hexadecimal que se utiliza para indicar el tipo de
protocolo de capa superior del campo de datos. Ethernet
II admite varios protocolos de capa superior. Dos tipos
comunes de trama son los siguientes:
Valor Descripción
0x0800 Protocolo IPv4
0x0806 Protocolo de resolución de direcciones (ARP)
Datos ARP Contiene el protocolo de nivel superior encapsulado.
El campo de datos tiene entre 46 y 1500 bytes.
FCS No se muestra en Secuencia de verificación de trama, utilizada por la NIC
la captura. para identificar errores durante la transmisión. El equipo
emisor calcula el valor abarcando las direcciones de
trama, campo de datos y tipo. El receptor lo verifica.

© 2018 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de
 ¿Qué característica significativa tiene el contenido del campo de dirección de destino?
Que todos los hosts en una LAN recibirán la trama broadcast.El host con la dirección IP
192.168.0.1 ( puerta de enlace) enviara una respuesta unicast al origen (host de la PC).La
respuesta contiene la dirección MAC de la Nick de la puerta de enlace.
¿Por qué envía la PC un ARP de difusión antes de enviar la primera solicitud de ping?
La Pc no puede enviar una solicitud ping a un host hasta que no determine su dirección MAC
así que puede construir una trama y su cabecera por una solicitud de ping .El brocadcast ARP
es usado para solicitar la dirección MAC del host con una dirección IP contenida en el ARP.

¿Qué porción de la dirección MAC corresponde al OUI?

Los primeros tres octetos de la dirección MAC indican el OUI, en los primeros 24 bits,en los
primeros 6 números hexadecimales.

¿Cuál es el número de serie de la NIC del origen?

Es f3: ea:ad

Parte 2: Utilizar Wireshark para capturar y analizar tramas de Ethernet

En la parte 2, utilizará Wireshark para capturar tramas de Ethernet locales y remotas. Luego,
examinará la información que contienen los campos de encabezado de las tramas.

Paso 1: Determinar la dirección IP del gateway predeterminado de tu PC.

Abra una ventana del símbolo del sistema y emita el comando ipconfig.

¿Cuál es la dirección IP del gateway predeterminado de la PC?

Es 192.168.0.1
Paso 2: Comenzar a capturar el tráfico de la NIC de la PC

a. Abra Wireshark e inicie la captura de datos.

b. Observe el tráfico que aparece en la ventana Packet List (Lista de paquetes).

Paso 3: Filtrar Wireshark para que solamente se muestre el tráfico ICMP

Puede usar el filtro de Wireshark para bloquear la visibilidad del tráfico no deseado. El filtro no
bloquea la captura de datos no deseados, sino lo que se muestra en pantalla. Por el momento, solo
se debe visualizar el tráfico ICMP.

En el cuadro Filter (Filtro) de Wireshark, escriba icmp. Si escribió el filtro correctamente, el

cuadro debe volverse de color verde. Si el cuadro está de color verde, haga clic en Apply
(Aplicar) (la flecha hacia la derecha) para que se aplique el filtro.
Paso 4: En la ventana del símbolo del sistema, hacer un ping al gateway predeterminado
de la PC.
En la ventana del símbolo del sistema, haga un ping al gateway predeterminado con la
dirección IP registrada en el paso 1.

Paso 5: Dejar de capturar el tráfico de la NIC.

Haga clic en el ícono Stop Capture (Detener captura) para dejar de capturar el tráfico.
Paso 6: Examinar la primera solicitud de eco (ping) en Wireshark

La ventana principal de Wireshark se divide en tres secciones: el panel de lista de paquetes

(arriba), el panel de Detalles del paquete (centro) y el panel de Bytes de paquetes (abajo). Si
seleccionó la interfaz correcta para la captura de paquetes anteriormente, Wireshark debería
mostrar la información ICMP en el panel de la lista de paquetes de Wireshark.

a. En el panel Packet List (Lista de paquetes) de la parte superior, haga clic en la primera trama
de la lista. Debería ver el texto Echo (ping) request (Solicitud de eco [ping]) debajo del
encabezado Info (Información). La línea ahora debería estar resaltada.

b. Examine la primera línea en el panel de detalles del paquete (sección central). Esta línea muestra la
longitud del marco.
c. En la segunda línea del panel Packet Details (Detalles del paquete), se muestra que es una
trama de Ethernet II. También se muestran las direcciones MAC de origen y de destino.
 ¿Cuál es la dirección MAC de la NIC de la PC?
Es 10-78-D2-3F-F7-C7
¿Cuál es la dirección MAC del gateway predeterminado?
Es f4-4b-2a-ea-f3-ad

d. Puede hacer clic en el signo más (>) al principio de la segunda línea para obtener más
información sobre la trama de Ethernet
¿Qué tipo de trama se muestra?
Es tipo IPv4 (80x800)

e. En las últimas dos líneas de la parte central, se proporciona información sobre el campo de
datos de la trama. Observe que los datos contienen información sobre las direcciones IPv4
de origen y de destino.
 ¿Cuál es la dirección IP de origen?
Es 192.168.0.11
¿Cuál es la dirección IP de destino?
Es 192.168.0.1

f. Puede hacer clic en cualquier línea de la parte central para resaltar esa parte de la trama
(hexadecimal y ASCII) en el panel Packet Bytes (Bytes del paquete) de la parte inferior. Haga
clic en la línea Internet Control Message Protocol (Protocolo de mensajes de control de
Internet) de la parte central y examine lo que se resalta en el panel Packet Bytes (Bytes de
paquete).

¿Qué texto muestran los últimos dos octetos resaltados?

Hi (hola).

g. Haga clic en la siguiente trama de la parte superior y examine una trama de respuesta de eco.
Observe que las direcciones MAC de origen y de destino se invirtieron porque esta trama se
envió desde el router del gateway predeterminado como respuesta al primer ping.
 ¿Qué dispositivo y qué dirección MAC se muestran como dirección de destino?

Paso 7: Capture paquetes para un host remoto.

a. Haga clic en el ícono Iniciar captura para iniciar una nueva captura de Wireshark. Se
muestra una ventana emergente que le pregunta si desea guardar los anteriores paquetes
capturados en un archivo antes de iniciar la nueva captura. Haga clic en Continue without
Saving (Continuar sin guardar).
b. En una ventana del símbolo del sistema, haga ping a www.cisco.com
c. Deja de capturar paquetes.
d. Examine los nuevos datos en el panel de la lista de paquetes de Wireshark.

En el primer marco de solicitud de eco (ping), ¿cuáles son las direcciones MAC de origen y
destino?

Source: 10-78-D2-3F-F7-C7

Destination: f4-4b-2a-ea-f3-ad

¿Cuáles son las direcciones IP de origen y destino contenidas en el campo de datos de la

trama?

Source: 192.168.0.11

Destination: 23.202.91.188

Compare estas direcciones con las direcciones que recibió en el Paso 6. La única dirección que
cambió es la dirección IP de destino. ¿Por qué cambió la dirección IP de destino, mientras que
la dirección MAC de destino se mantuvo igual?
Las tramas de capa 2 nunca salen de la LAN cuando un ping se realiza a ojo remoto, el
origen usará la dirección MAC de la puerta de enlace para el destino de la trama, la puerta
de enlace recibe un paquete y obtiene la información de trama de capa 2 del paquete y
luego crea una nueva cabecera para una trama con una dirección MAC del siguiente salto
,este proceso continua de router a router ,hasta que el paquete llegue a su dirección IP de
destino .
  PREGUNTA DE REFLEXION:
En Wireshark, no se muestra el campo de preámbulo de un encabezado de trama.
¿Qué contiene el preámbulo?
El campo de preámbulo contiene siete octetos de secuencia 1010 alternándose y un octeto
que indica el comienzo de la trama, 10101011.