命令:
ip addr add 3.3.3.5/24 dev brg-o
ip link add veth0 type veth peer name veth1
ip addr add 3.3.3.3/24 dev veth0
ip addr add 3.3.3.4/24 dev veth1
ip link set veth0 up
ip link set veth1 up
ip link set dev veth0 master brg-o
ip link set dev veth0 master brg-o
ip route add default via 192.168.122.1
ip addr del 3.3.3.5/24 dev brg-o
ip link set dev veth1 address 08:00:27:3b:0d:b9
ip addr del 3.3.3.5/24 dev brg-o
tcpdump -n -vv -i brg-o.20 -c 10 -ee -x -b arp
linux網路設備型別:
vlan 設備:俗稱vlan if介面,注冊內核,采用重定向到實際網卡,根據vlan在協議堆疊找vlan if介面,
eth/ens設備:實際網卡設備,對于PC等主機,報文從網卡進來,進入協議堆疊;協議堆疊發出去的報文經過網卡到外網,
bridge設備:俗稱網橋設備與交換機同理,可以將vlan設備、eth/ens設備系結到網橋,成為網橋的埠,因為網橋俗稱二層轉發功能,報文服從:源mac地址學習,目的mac地址轉發,
tap是鏈路層的虛擬網路設備,等同于一個以太網設備,它可以收發第二層資料報文包,如以太網資料幀,Tap最常見的用途就是做為虛擬機的網卡,因為它和普通的物理網卡更加相近,也經常用作普通機器的虛擬網卡
tun是網路層的虛擬網路設備,可以收發第三層資料報文包,如IP封包,因此常用于一些點對點IP隧道,例如OpenVPN,IPSec等,
Veth埠簡介:
Linux container 中用到一個叫做veth的東西,這是一種新的設備,專門為 container 所建,veth 從名字上來看是 Virtual ETHernet 的縮寫,它的作用很簡單,就是要把從一個 network namespace 發出的資料包轉發到另一個 namespace,veth 設備是成對的,一個是 container 之中,另一個在 container 之外,即在真實機器上能看到的,
VETH設備總是成對出現,送到一端請求發送的資料總是從另一端以請求接受的形式出現,創建并配置正確后,向其一端輸入資料,VETH會改變資料的方向并將其送入內核網路子系統,完成資料的注入,而在另一端則能讀到此資料,(Namespace,其中往veth設備上任意一端上RX到的資料,都會在另一端上以TX的方式發送出去)veth作業在L2資料鏈路層,veth-pair設備在轉發資料包程序中并不串改資料包內容
veth虛擬網路設備:當協議堆疊收到外面的arp請求時,不管是問3.3.3.3還是3.3.3.4,都會回復兩個arp應答,分別包含brg-o和veth1的mac地址,也即Linux覺得外面發給3.3.3.3和3.3.3.4的資料包從brg-o和veth1進協議堆疊都一樣,沒有區別,由于回復了兩個arp應答,而外面的設備只會用其中的一個,并且具體用哪個會隨著時間發生變化,于是導致一個問題,就是外面回復給3.3.3.3的資料包可能從3.3.3.4的brg-o上進來,即通過3.3.3.3 ping外面時,可能在veth1抓不到回復包,而在brg-o上能抓到回復包,說明資料流在交換機那層沒有完全的隔離開,brg-o和veth1會收到對方的IP應答包,為了解決上述問題,可以配置rp_filter, arp_filter, arp_ignore, arp_announce等引數,但不建議這么做,容易出錯,除錯比較麻煩,
路由表查找原則:最長掩碼匹配匹配
路由表說明:
1、網關為0.0.0.0,從此介面出去的arp報文,請求的是目的IP的mac地址arp請求報文,而不是網關的arp請求報文,網關是0.0.0.0,意味著埠直連的網路屬于二層網路,
2、目的是0.0.0.0,掩碼0.0.0.0,根據掩碼最長匹配規則,當在路由表中查找不到目的ip的路由表項時,轉發規則服從此路由表項,arp請求的是網關的ip的mac地址映射,
3、報文上三層協議堆疊的核心前提條件:二層終結,
4、三層轉發:ip頭不變,二層頭變化,
5、二層轉發:mac頭不變,vlan變化,
//Note: ping 虛擬網卡,icmp報文在linux內核協議堆疊的處理流程
veth0系結brg-o, ping veth1 指定brg-o埠:
1、ping行程構造ICMP echo請求包,并通過socket發給協議堆疊,
2、由于ping程式指定了走veth0,并且本地ARP快取里面已經有了相關記錄,所以不用再發送ARP出去,協議堆疊就直接將該資料包交給了veth0
3、由于veth0的另一端連的是veth1,所以ICMP echo請求包就轉發給了veth1
4、veth1收到ICMP echo請求包后,轉交給另一端的協議堆疊
5、協議堆疊一看自己的設備串列,發現本地有192.168.2.1這個IP,于是構造ICMP echo應答包,準備回傳
6、協議堆疊查看自己的路由表,發現回給192.168.2.11的資料包應該走lo口,于是將應答包交給lo設備
lo接到協議堆疊的應答包后,啥都沒干,轉手又把資料包還給了協議堆疊(相當于協議堆疊通過發送流程把資料包給lo,然后lo再將資料包交給協議堆疊的接收流程)
7、協議堆疊收到應答包后,發現有socket需要該包,于是交給了相應的socket
8、這個socket正好是ping行程創建的socket,于是ping行程收到了應答包
//ARP報文處理,arp屬于二層報文
1、ping行程構造ICMP echo請求包,并通過socket發給協議堆疊,
2、協議堆疊根據目的IP地址和系統路由表,知道去3.3.3.4的資料包應該要由veth0口出去
3、由于是第一次訪問3.3.3.4,且目的IP和本地IP在同一個網段,所以協議堆疊會先發送ARP出去,
詢問3.3.3.4的mac地址
4、協議堆疊將ARP包交給veth0,讓它發出去,由于veth0的另一端連的是veth1,所以ARP請求包就轉發給了veth1
5、veth1收到ARP包后,轉交給另一端的協議堆疊
創建veth設備并配置ip地址
root@ubuntu:~# ip link add veth0 type veth peer name veth1 //veth0 與 veth1 直連
root@ubuntu:~# ip addr add 3.3.3.3/24 dev veth0
root@ubuntu:~# ip addr add 3.3.3.4/24 dev veth1
root@ubuntu:~# ifconfig veth0 up
root@ubuntu:~# ifconfig veth1 up
將對應設備設定為混雜模式, 否則會丟掉目的mac地址是veth的資料包
root@ubuntu:~/tcpdumpPkt# ifconfig veth0 promisc
root@ubuntu:~/tcpdumpPkt# ifconfig veth1 promisc
root@ubuntu:~/tcpdumpPkt# ifconfig brg-o promisc
當在內核創建的虛擬網路設備:
veth0 系結在 brg-o網橋上:
1、二者mac地址相同,協議堆疊通過veth0發送報文,經過veth0的報文不能送到協議堆疊,導致單通,同時由于veth0未重定向到真是網卡,也不能反問外網,實作方式將實際網卡系結到網橋既可,
2、可以理解為協議層的:軟交換機
veth0系結到網橋brg-o,洗掉veth0網卡ip地址,ping veth1通過ping -I brg-o 3.3.3.4 :
linux內核中協議堆疊網橋代碼:
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/397455.html
標籤:區塊鏈