Wireshark系列：没有启动dhcp功能的网段，可以通过抓包获取这个网段的是什么（也有些情况是无法获取网段是什么）

Wireshark系列：没有启动dhcp功能的网段，可以通过抓包获取这个网段的是什么（也有些情况是无法获取网段是什么）

情况描述：你管理的某个网段是有开启dhcp功能，也就是电脑配置静态ip地址上网。但是没有开启dhcp功能的网段太多，你已经忘记了这个网段是什么了，这个除了查交换机的配置，看看其他电脑的ip是什么，但有时登录交换机不方便，并且这个房间就只有一台电脑或者其他电脑不方便让你进行查看ip地址是哪个网段等，这时候直接使用你带来的笔记本接上有问题的电脑所使用的网线进行抓包分析。

总之，查询ip段的方法有很多，这个方法只是参考下，我是建议我们同事都掌握这个小技巧。

实验说明：假如你的笔记本是PC1, 你把笔记本接到这个网络中没有获取到ip地址，这个局域网可能是可以手动配置ip地址，可以通过抓包获取ip地址段是什么。

（1）拓扑图（网络中没有开DHCP功能）

PC1不需要配置ip地址，此网络中没有DHCP服务器，PC2配置静态ip:

（2）在PC1上抓包

实验结果：从arp包来看，猜这个网段是192.168.1.x。

疑问1：什么时候会无法获取ip网段是什么呢？

答：当这个网段没有电脑在线时。

相关知识点：

ARP简介

定义

地址解析协议ARP（Address Resolution Protocol）是用来将IP地址解析为MAC地址的协议。

目的

在局域网中，当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时，它需要知道对方的网络层地址（即IP地址）。但是仅有IP地址是不够的，因为IP报文必须封装成帧才能通过物理网络发送，因此发送方还需要知道接收方的物理地址（即MAC地址），这就需要一个从IP地址到MAC地址的映射。ARP即可以实现将IP地址解析为MAC地址。主机或三层网络设备上会维护一张ARP表，用于存储IP地址和MAC地址的关系。一般ARP表项包括动态ARP表项和静态ARP表项。

动态ARP

动态ARP的定义

动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。

动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。

ARP地址解析过程

动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。

图1 ARP地址解析过程

当需要通信的两台主机处于同一网段时，如图1中的Host_1和Host_3，Host_1要向Host_3发送数据。  （1）首先，Host_1会查找自己本地缓存的ARP表，确定是否包含Host_3对应的ARP表项。如果Host_1在ARP表中找到了Host_3对应的MAC地址，则Host_1直接利用ARP表中的MAC地址，对数据报文进行帧封装，并将数据报文发送给Host_3。如果Host_1在ARP表中找不到Host_3对应的MAC地址，则先缓存该数据报文，并以广播方式发送一个ARP请求报文。如图1中所示，OP字段为1表示该报文为ARP请求报文，ARP请求报文中的源MAC地址和源IP地址为Host_1的MAC地址和IP地址，目的MAC地址为全0的MAC地址，目的IP地址为Host_3的IP地址。有关ARP报文格式的详细介绍请参见ARP报文格式。

（2）Switch_1收到ARP请求报文后，将该ARP请求报文在同一广播域内转发。  （3）同一广播域内的主机Host_2和Host_3都能接收到该ARP请求报文，但只有被请求的主机（即Host_3）会对该ARP请求报文进行处理。Host_3比较自己的IP地址和ARP请求报文中的目的IP地址，当两者相同时进行如下处理：将ARP请求报文中的源IP地址和源MAC地址（即Host_1的IP地址和MAC地址）存入自己的ARP表中。之后以单播方式发送ARP应答报文给Host_1，ARP应答报文内容如图1中所示，OP字段为2表示该报文为ARP应答报文，源MAC地址和源IP地址为Host_3的MAC地址和IP地址，目的MAC地址和目的IP地址为Host_1的MAC地址和IP地址。

（4）Switch_1收到ARP应答报文后，将该ARP应答报文转发给Host_1。Host_1收到ARP应答报文后，将Host_3的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将数据报文进行帧封装，并将数据报文发送给Host_3。

当需要通信的两台主机处于不同网段时，如图1中的Host_1和Host_4，Host_1上已经配置缺省网关，Host_1首先会发送ARP请求报文，请求网关Router的IP地址对应的MAC地址。Host_1收到ARP应答报文后，将数据报文封装并发给网关，再由网关将数据报文发送给目的主机Host_4。Host_1学习网关IP地址对应的ARP表项的过程，以及网关设备学习Host_4的IP地址对应的ARP表项的过程与上述同网段主机Host_1和Host_3之间进行ARP地址解析的过程类似，不再赘述。

ARP老化机制

如图1中所示，如果每次Host_1和Host_3通信前都要发送一个广播的ARP请求报文，会极大的增加网络负担。而且同广播域的所有设备都需要接收和处理这个广播的ARP请求报文，也极大的影响了网络中设备的运行效率。为了解决以上问题，每台主机或设备上都维护着一个高速缓存，这是ARP高效运行的一个关键。在这个高速缓存中，存放主机或设备最近学习到的IP地址到MAC地址的映射关系，即动态ARP表项。

主机或设备每次发送报文时，会先在本地高速缓存中查找目的IP地址所对应的MAC地址。如果高速缓存中有对应的MAC地址，主机或设备不会再发送ARP请求报文，而是直接将报文发至这个MAC地址；如果高速缓存中没有对应的MAC地址，主机或设备才会广播发送ARP请求报文，进行ARP地址解析。

一方面由于高速缓存的容量限制，另一方面为了保证高速缓存中ARP表项的准确性，设备会对动态ARP表项进行老化和更新。

动态ARP表项的老化参数有：老化超时时间、老化探测次数和老化探测模式。设备上动态ARP表项到达老化超时时间后，设备会发送老化探测报文（即ARP请求报文），如果能收到ARP应答报文，则更新该动态ARP表项，本次老化探测结束；如果超过设置的老化探测次数后仍没有收到ARP应答报文，则删除该动态ARP表项，本次老化探测结束。

设备发送的老化探测报文可以是单播报文，也可以是广播报文。缺省情况下，设备只在最后一次发送ARP老化探测报文是广播模式，其余均为单播模式发送。当对端设备MAC地址不变时，可以配置接口以单播模式发送ARP老化探测报文。

当接口Down时设备会立即删除相应的动态ARP表项。