网络虚拟化常见问题

最新推荐文章于 2024-08-20 15:55:40 发布
最新推荐文章于 2024-08-20 15:55:40 发布
阅读量508 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37313888/article/details/108082679
版权

1.网卡收发包的过程

下面是内核相关的

https://blog.csdn.net/hilyoo/article/details/4455031?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param

收包过程

https://blog.csdn.net/jiangganwu/article/details/83037139

0.网卡驱动创建rx descriptor ring,并将地址写入网卡寄存器;网卡驱动为每个descriptor分配skb,并将地址写入descriptor;

1.包到达网卡,网卡对包进行校验

2.网卡将帧写入FIFO缓冲区

3.DMA通过PCI总线将数据包复制到skb缓冲区,

4.产生中断,交给内核处理,这些中断处理程序在网卡驱动中

5.CPU执行硬中断处理函数

6.ksoftirqd执行软中断函数

7.网卡驱动将sk_buff送上协议栈

其中,协议栈的解析过程:

ip层对包进行错误检测和路由,packet被转发或送往上层

发包过程

0.socket调用send

tcp/udp为这些数据添加tcp/ip头部

ip添加ip头

超过了MTU的话需要进行ip分组,并传给链路层

链路层写到网卡驱动中的tx descriptor ring

1.网卡驱动创建tx descriptor ring,将tx descriptor ring的总线地址写入网卡寄存器

2.协议栈将sk_buff送到网卡驱动

3.网卡驱动将sk_buff放到tx descriptor ring

4.找到下一个要使用的descriptor

5.将descriptor中的数据拷贝到FIFO

6.将数据包发送出去

7.通知CPU释放数据缓冲区中的数据包

2.中断上半部,下半部

 

这里写图片描述

其中中断上半部负责将napi放到poll list里面,下半部取出napi对应的skb并交给内核栈

3.netfilter

https://blog.csdn.net/ruisenabc/article/details/87920528

下面是linux协议栈中的网络层对ipv4报文的处理流程

预先在每个点上都注册了回调函数

返回下列几个值其中之一

1. NF_ACCEPT

继续正常传输数据报。这个返回值告诉Netfilter:到目前为止,该数据包还是被接受的并且该数据包应当被递交到网络协议栈的下一个阶段。
2. NF_DROP

丢弃该数据报,不再传输。
3. NF_STOLEN

模块接管该数据报,告诉Netfilter“忘掉”该数据报。该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。但是,这并不意味着该数据包的资源已经被释放。这个数据包以及它独自的sk_buff数据结构仍然有效,只是回调函数从Netfilter获取了该数据包的所有权。
4. NF_QUEUE

对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)
5. NF_REPEAT

 再次调用该回调函数,应当谨慎使用这个值,以免造成死循环。

数据报从进入系统,进行IP校验以后,

首先经过第一个HOOK函数NF_IP_PRE_ROUTING进行处理;

然后就进入路由代码,其决定该数据报是需要转发还是发给本机的;若该数据报是发被本机的,则该数据经过HOOK函数NF_IP_LOCAL_IN处理以后然后传递给上层协议;

若该数据报应该被转发则它被NF_IP_FORWARD处理;

经过转发的数据报经过最后一个HOOK函数NF_IP_POST_ROUTING处理以后,再传输到网络上。

本地产生的数据经过HOOK函数NF_IP_LOCAL_OUT 处理后,进行路由选择处理,然后经过NF_IP_POST_ROUTING处理后发送出去。

四张表:

filter表,mangle表,raw表,nat表

4.1000M速率能发送多少数据包?

https://blog.csdn.net/gold0523/article/details/57113863

5.dpdk

https://www.cnblogs.com/bakari/p/8404650.html

data plane develop kit

6.连接跟踪

为什么使用连接跟踪?

1.访问网站,你访问的那个网站的返回包能够通过但是其他网站不能通过

2.nat的查表,当第一个数据包查询nat表的时候,连接跟踪将转换方法保存下来,

后续的报文只需根据连接跟踪里保存的方法进行转换就行了。

识别一个连接上的双向数据包,同时记录状态

也是通过在hook点上注册相应的数据结构来工作的

https://segmentfault.com/a/1190000019605260(Netfilter是如何工作的)

几个表的情况如下:

连接跟踪的位置下图所示:

arch

连接跟踪采用的方案是在入口记录,在出口确认

会在入口进行计算,在出口确认的时候,保存到哈希表

struct

报文的连接跟踪状态

IP_CT_ESTABLISHED

IP_CT_RELATED

IP_CT_NEW

IP_CT_ESTABLISHED + IP_CT_IS_REPLY,与ESTABLISHED类似,但是是在回复方向

IP_CT_RELATED + IP_CT_IS_REPLY,与RELATED类似,但是是在回复方向

下面的图的博客地址在https://blog.csdn.net/qisefengzheng/article/details/50011037

用以实现连续跟踪入口的hook函数以较高的优先级分别被注册到了NF_IP_PREROUTING和NF_IP_LOCAL_OUT两个hook点上;用以实现连接跟踪出口的hook函数以非常低的优先级分别被注册到了NF_IP_LOCA_IN和NF_IP_POST_ROUTING两个hook点上

Neftilter框架用ip_conntrack{}来记录一个数据包与其连接的状态关系

 

7.OVS总结

基本流程:https://blog.csdn.net/YuZhiHui_No1/article/details/39298321?utm_source=blogxgwz27

1.ovs-vsctl add-port br-int p1发生了什么?

xjtu_qyq
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深信服桌面虚拟化常见问题.pptx
10-11
深信服桌面虚拟化技术是...以上是深信服桌面虚拟化系统中常见的一些问题及其解决策略。在实际运维中,定期更新软件、监控系统性能、保持网络通畅,以及及时处理故障和性能问题,都是保证桌面虚拟化系统稳定运行的关键。
应用防火墙原理
程序狗的成长之路
08-29 599
1. Netfilter Linux内核在Netfilter(下文简称NF)框架的基础上提供了IP Queue机制,使得基于用户态(User Mode)的防火墙开发成为可能。   内核中NF网络报文的处理这里不做详细描述。假设读者已经熟悉NF的工作原理和工作流程。但这里还是要简单介绍一下NF中各个钩子(hook)函数对数据包处理的返回值,即该函数告诉内核对该数据包的处理意见。所有的返回值如
Netfilter中返回值的具体用法
xc889078的专栏
04-13 1044
返回值                  含义                                                                                     用途 NF_ACCEPT      数据包被该hook允许,继续netfilter流程                       如果数据包为正常数据包,一般都是这个返回值 NF
Linux内核网络编程
qq_43688708的博客
04-05 3620
Linux内核网络编程的简单例子
在netfilter中ACCEPT、DROP、CONTINUE 和 RETURN 对应的值
最新发布
alittlefish1的博客
08-20 190
在 Linux 内核的 Netfilter 框架中,ACCEPTDROPCONTINUE、和RETURN对应的值是通过一组常量定义的。这些常量用于表示不同的处理动作。
linux网络之netfilter 五个钩子点
m0_74282605的博客
03-08 403
在三层IPv4数据包的处理过程中,可能经过Netfilter的五个钩子点,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING,在每个点都可以设置一些规则,来对数据包进行匹配检查处理,这些规则的配置、布局和匹配流程。数据包已经被接管,回调函数处理该包,NF不再处理,该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。
网络虚拟化概述.pptx
09-20
总之,网络虚拟化通过将网络功能集成到服务器内部,解决了传统网络的效率、管理和成本问题,提高了数据中心的灵活性和性能。随着技术的发展,各种虚拟交换机解决方案不断涌现,为云计算和大规模虚拟化环境提供了更加...
北京大学虚拟化技术PPT
12-21
2. **虚拟化类型**:虚拟化包括服务器虚拟化、存储虚拟化网络虚拟化、桌面虚拟化等多种形式。其中,服务器虚拟化是最常见的形式,允许在一个物理服务器上运行多个虚拟机(VM);存储虚拟化将分散的物理存储资源...
《云计算与虚拟化技术》.pdf
07-25
4. 网络虚拟化:将物理网络设备和网络资源抽象为逻辑资源,实现网络服务的灵活部署和管理,如SDN(软件定义网络)。 在实际应用中,云计算和虚拟化技术的结合带来了诸多优势。例如,通过云计算平台,企业可以快速...
Linux netfilter 学习笔记 之六 ip层netfilter的filter表的创建及其hook函数分析
lickylin的专栏
06-24 3751
Linux netfilter 学习笔记 之五 ip层netfilter的filter表的创建及hook函数分析       今天主要在前两节的基础上,分析filter表的创建,以及filter表的hook回调函数的分析。 1. Filter模块初始化 在前面分析表的注册时,我们知道要注册一个新的xt_table,需要实例化xt_table与ipt_replace这两个结构体。创建fi
(十二)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【下】
逐步前行
01-05 590
iptables用户空间和内核空间的交互 iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptc是iptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfilter的...
使用netfilter_queue改包笔记
weixin_30236595的博客
11-26 940
系统:centos 7 准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装 简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则: //把到本机 50.24 ...
iptables目标NFQUEUE
redwingz的博客
05-01 1756
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
深入Linux网络核心堆栈
超然楼
07-14 1328
|=---------------------=[ 深入Linux网络核心堆栈 ]=-----------------------=||=-----------------------------------------------------------------------=||=------------------=[ bioforge ]=--------------------=||
网络虚拟化技术基础问答
weixin_34097242的博客
05-07 167
务器虚拟化影响网络已经不是什么秘密。因此对一些企业来说,对网络进行虚拟化本身就有很大的意义。   网络虚拟化技术允许管理员合并多个网络,把单个网络划分成多个或者在虚拟机之间创建纯软件的网络网络虚拟化的目标是提高速度和自动化,加强网络管理。网络虚拟化技术同样将单个物理交换机绑定为一个虚拟交换机、节省空间、降低功耗和布线成本。   虚拟化网络从组合网络资源并将...
Linux内核IP Queue机制的分析(三)――ip_queue内核模块的分析
xluuv11o
01-17 433
Linux内核IP Queue机制的分析(三)――ip_queue内核模块的分析 2010年09月25日    reference:http://linux.chinaunix.net/bbs/thread-1152070-1-1.html   本文分析ip_queue的内核态源码。文中如有任何疏漏和差错,欢迎各位朋友指正。   本文欢迎自由转载,但请标明出处,并保证本文的完整性。 ...
从ip_queue到nfnetlink_queue(下)
Marking的专栏
01-18 3140
从ip_queue到nfnetlink_queue(下) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 3. 内核空间内核版本2.6.17.11。内核空间的代码程序包括net/netfilte
netfilter各种队列的区别
wesleyflagon的专栏
03-15 755
nf_queue:      netfilter中最基本的队列, 只能在内核空间调用. nfnetlink_queue:     基于nf_queue, 可以在用户空间通过链接库libnfnetlink_queue调用. ip_queue:      基于nf_queue, 处理IPv4报文的. 可以在用户空间通过链接库libipq调用.  ip6_queue:     
网络虚拟化下的多租户安全挑战与解决方案
而在网络虚拟化中,常见的方法有使用VPNs或VRF(Virtual Routing and Forwarding)创建逻辑隔离的网络,既能简化网络设计,又能防止广播风暴等安全问题。 然而,随着虚拟化技术的应用,安全威胁也随之而来。攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值