tcpdump与VLAN

Question

我跑平：

ping -c 15 -s 120 -D 192.5.15.22

在我看tcpdump的同时：

tcpdump -n -e -vv -ttt -i iavf0 vlan tcpdump:侦听iavf0，链路类型EN10MB (以太网)，捕获大小262144字节00:00:00.000000 52:00:d6:e6:62> 3a:db:46:ce:e8:b7，以太型802.1Q (0x8100)，长度166: vlan 11，p0，ethertype IPv4，(tos 0x0，ttl 64，id 0，偏移量0，标志DF，proto ICMP (1)，长度148，坏信号0 (->9d33)!) 192.5.15.22 > 192.5.15.23: ICMP回波请求，id 26245，seq 0，长度128 00:00:00.000161 3a:db:46:ce:e8:b7 > 52:54:00:d6:e6:62，以太型802.1Q (0x8100)，长度166: VLAN11，p0，以太型IPv4，(Tos0x0，ttl 64，id 0，偏移距0，标志DF，前ICMP (1)，192.5.15.23 > 192.5.15.22: ICMP回波应答，id 26245，seq 0，长度128 00:00:01.040554 52:00:D6:e6:62> 3a:db:46:ce:e8:b7，以太型802.1Q (0x8100)，长度166: VLAN11，p0，以太型IPv4，(tos 0x0，ttl 64，id 0，偏移量0，标志DF，前ICMP (1)，长度148，坏和0 (->9d33)!)

1. 如果我是正确的，我会看到166字节长(166-120=46字节)，因为用户空间看不到以太网字段(18字节)。它被内核空间切断了，对吗？
2. 我不知道为什么我看到148字节? 148-120=28字节，其余的64字节在哪里？
3. 错误校验和的原因是什么？

Answer 1

• 发送数据有效负载为120字节的ICMP数据包。
• ICMP (回波请求)报头)为8个字节，总ICMP大小为128个字节。
• 承载此ICMP有效负载的数据包的IPv4 4报头为20个字节(不使用任何IP选项)，IPv4数据包的总大小为148个字节。
• 承载此带有附加802.1Q报头的以太网报头有效负载的帧的IPv4为18字节(而非VLAN标记的帧为14字节)，总大小为166个字节。这18个字节可能隐藏在IP层的应用程序中，但它们并不是所有的东西都被隐藏(例如: tcpdump确实捕获了它们)，不管它们可能以何种特殊的格式可用。(注:在先前的维基百科链接中，序言和CRC/FCS通常不会被系统看到，而是只被NIC看到，并且不被计入通常的帧长度。)

输出中明显的坏校验和是由于硬件加速。大多数网卡可以在硬件/固件中卸载IPv4 4校验和，因此网卡的驱动程序和/或网络堆栈知道(S)不需要做任何校验和，IPv4校验和字段不会由操作系统计算(或路由时重新计算)。由于tcpdump在NIC的硬件/固件实际处理之前捕获了发出的帧，因此这个IPv4字段仍有一个不正确的值有待NIC动态计算。