虽然BLE空中包（packet）涉及BLE协议栈 link layer，L2CAP，SMP和ATT等各层次，但link layer跟空中包格式关系最紧密，掌握了BLE packet的格式，就很容易理解BLE link layer协议的工作原理，因此文章取名“详解BLE空中包格式—兼BLE link layer协议解析”

BLE Packet格式

BLE链路层（link layer）只定义了一种packet（空中包）格式，如下所示：

而且PDU（protocol data unit，协议数据单元）前两个字节固定为LL header（1个字节长）和payload length（1个字节长，又称data length），即上面的Packet可以展开为：

preamble（前导帧）为1个字节，根据Access Address第一个Bit，有两种取值情况：0x55或者0xAA（纯PHY层行为），如下所示：

Access Address用来标示接收者ID或者空中包身份，如前所示，BLE只有一种packet格式，根据Access Address的不同，又区分两种Packet类型：广播包和数据包：

- 广播包Access Address 固定为 0x8E89BED6

广播包只能在广播信道（channel）上传输，即只能在37/38/39信道上传输（注：从蓝牙5.0开始广播包可以在其它信道上传输）。广播包发送给附近所有的observer（扫描者）。

- 数据包Access Address为一个32bit的随机值

由Initiator生成。数据包，其实是数据信道上的空中包的简称，数据包只在数据信道上传输，即除37/38/39之外的其余37信道（BLE总共占用40个信道）。每建立一次连接，重新生成一次Access address。数据包是给连接通信使用的，即用于master和slave之间通信的。

- CRC为24bit，初始向量为：

蓝牙广播包

蓝牙广播包，全名蓝牙广播通道（channel）空中包，即在蓝牙广播通道上传输的空中包，为两种空中包的一种，其具体格式如下所示：

Advertising Header 即前述的LL header，长度为一个字节，其每bit定义如下所示：

PDU Type为3bit，具体定义如下。可以看出扫描PDU和发起连接PDU都属于广播包。

注：CONNECT_REQ也可写作CONNECT_IND

TxAdd/RxAdd，各占1bit，表示随后的Device Address字段代表的蓝牙MAC地址类型，值0代表Public地址，值1代表Random地址。

Payload length定义如下所示，所以广播包PDU最长37个字节。

Device Address，广播包中的强制字段，俗称蓝牙MAC地址，如果是广播包，则是advertiser的MAC地址；如果是scan包或者连接请求包，则是scanner的MAC地址。蓝牙device address为6个字节，这样Advertising data最长为：37-6 = 31B，这就是广播包数据最长只能31个字节的由来。如前所述，device address分public和random两种，定义如下所示：

Random device address又有三种类型，定义如下所示：

Advertising data我会另写一篇文章来详述，这里就不再介绍了。

如下为一个完整的真实的广播包示例，注意：BLE空中包采用小端模式。

AAD6BE898E600E3B75AB2A02E102010504FF5900538EC7B2

-AA – 前导帧(preamble)

-D6BE898E – 访问地址(access address)

-60 – LL帧头字段(LL header)

-0E – 有效数据包长度(payload length)

-3B75AB2A02E1– 广播者设备地址(advertiser address)

-02010504FF590053 – 广播数据

-8EC7B2 – CRC24值

注：上述广播包是蓝牙4.x格式，蓝牙5.0广播包除了包含上述格式外（记住：蓝牙5是跟蓝牙4.x兼容的！），还有一些新的定义，以后我也会写一篇关于蓝牙5广播的文章来专门阐述蓝牙5扩展广播包。

参考：

https://mp.weixin.qq.com/s/okNk1pin3ph7pLMKqLZthQ