XDP, traffic control/tc/qdisc和netfilter在Linux的网络架构(packet flow in Netfilter and General Network)

已于 2023-05-05 20:53:56 修改
阅读量841 收藏 4
点赞数
分类专栏: Linux路由、防火墙与流量控制QOS的设计与实现 文章标签: 网络 linux 架构
于 2023-04-06 20:31:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meihualing/article/details/129998328
版权

本文目录

这个架构图来自己netfilter项目的官方网站,原图的名字叫packet flow in Netfilter and General Networking,如下图所示(如果你需要原图可以私信博主)。主要分成XDP部分,netfilter部分和traffic control部分
在这里插入图片描述

1、XDP部分

XDP(eXpress Data Path)是与DPDK对应的一套快速数据处理框架,它是 Linux Kernel 中提供高性能、可编程的网络数据包处理框架。 它使得 Kernel 能够在数据报文到达 L2(网卡驱动层)时就对其进行针对性的高速处理,而无需再 “循规蹈矩” 地进入到 TCP/IP Stack。
在这里插入图片描述

2、Netfilter部分

图中带颜色的部分都是netfilter的范围。
在这里插入图片描述

3、tc traffic control qdisc部分

如下图,把netfilter部分简化后,我们可以看到traffic control/qdisc的ingress和egress二个方向的处理,都是在TCP/IP协议栈以外的,本质上traffic control是在报文进入TCP/IP协议栈之前或者出了TCP/IP协议之后在这二处对报文进行处理。
在这里插入图片描述

林哥小站
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TechnicalMap:Technical knowledge map 技术类知识相关图谱
05-01
个人搜集与总结的技能知识图谱 :goal_net: 网络通讯协议图 Network Communication Protocols Map :handshake: 双向证书认证的SSL握手过程 SSL handshake with two way authentication with certificates :bar_chart: 数据结构与算法的时间/空间复杂度 Complexity of datastructure/algorithm :counterclockwise_arrows_button: 网络数据包通过Netfilter时的工作流向 Packet flow in Netfilter and General Networking :magnifying_glass_tilted_right: Linux性能监测分析工具 Linux Performance Observability Tools :chestnut: Linux内核运行原理图 Interactive Linux Kernel Map :penguin: Linux发行版时间轴 List of Linux
Linux防火墙内核中Netfilter和Iptables的分析
06-02
文章在 Linux 相关源码的基础上对 Linux 内核防火墙框架 Netfilter/Iptables 进行了研究, 并利用HOOK 函数, 实现了对 Land 和 Winnuke 攻击的检测。
基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段,但是实际基于NetFilter的IpTables并不能解决该问题,因为其处理报文的位置已分配SKB,大量无效SKB会耗尽内存资源,拖垮服务器。但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全。
[linux][xdp] xdp 入门
最新发布
weixin_38184628的博客
02-28 1739
xdp 全称 eXpress Data Path,是 linux ebpf 中的一个功能。ebpf 在内核中预留了一些插入点,用户可以在这些插入点插入自己的处理逻辑,当数据路过插入点时可以做一些预期的处理,具体实现方式如下:① 用户编写数据处理代码,也就是对于路过这个插入点的数据想做什么处理② 将代码编译③ 将编译好的目标文件安装到插入点安装之后,数据路过插入点时便会被安装的代码处理。插入点的处理逻辑就像一些路口的收费站,不同身份的车辆通过收费站的时候,可能需要做不同的事情。
XDP784双偏振雷达基数据标准格式20170712_雷达基数据格式_c/C++_雷达数据读取_双基_
10-02
双偏振雷达数据格式说明,方便资料的读取与解码
基于eBPF/XDP实现conntrack功能
06-19
连接跟踪(conntrack)是网络应用非常非常的基础,比如有状态防火墙 (firewall),网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后对网络报文进行跟踪;但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以实 现一套连接跟踪功能, 这个该项目的核心思路。 购买文档,免费给源代码!! 购买文档,免费给源代码!! 购买文档,免费给源代码!!
iptables初探
喝醉酒的小白
04-23 1361
一、概念 iptables是Linux下功能强大的防火墙工具,由于它集成于Linux内核,所以效率极高。 二、分类 按照对数据包的操作类别分类,iptables可以分为4个表,按照不同的Hook点可区分为5个链。 其中4个表分别是filter表(用于一般的过滤)、nat表(地址或端口映射)、mangle表(对特定数据包的修改)、raw表,这里面最常用的是filter表; 5个链分别是PREROUTING链(数据包进入路由决策之前)、INPUT(路由决策为本机的数据包)、FORWARD(路由决策不是本机的数据
Packet flow in Netfilter and General Networking
chengfangang的专栏
03-18 3186
【博客525】linux bridge如何up call iptables
qq_43684922的博客
10-16 1091
Netfilter在内核协议栈中指定了五个处理数据包的钩子(hook),分别是PRE_ROUTING、INPUT、OUTPUT、FORWARD与POST_ROUTING,通过iptables/firewalld/ebtables等用户层工具向这些hook点注入一些数据包处理函数,这样当数据包经过相应的hook时,处理函数就被调用,从而实现包过滤功能。Bridge的出现使Linux上设置防火墙变得复杂,因为此时从物理网卡进入主机的数据包目的地可能是其上运行的一台虚拟机。进入数据包流向对应路径。
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1081
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
xdp初体验
ych的专栏
08-09 1662
简介 XDP是利用ebpf提供的全新内核网络性能提升方案,主要优势包括: 它不需要任何专门的硬件 它不需要内核绕过 它不会取代 TCP/IP 堆栈 它与 TCP/IP 堆栈以及 BPF 的所有优点协同工作 在没有引入XDP之前,原来是的内核网络数据包传输路径是这样的: NIC > driver 驱动> tc流控 ==> netfilter ==> IP/TCP协议栈 ==> socket 启用XDP后,网络包传输路径是这样的: ①NIC > ②driver 驱动&
XDP512_CAN0.rar_微处理器开发_C/C++_
08-12
mc9s12XDP512单片机 CAN0 程序
高性能第4层负载均衡器-C/C++开发
05-26
katran katran是一个cpp库和bpf程序,用于构建高性能第4层负载平衡转发平面。 katran利用内核中的XDP基础结构为快速数据包的处理提供内核工具。Katran是C ++库和BPF程序,用于构建高性能的第4层负载平衡转发平面。 Katran利用内核中的XDP基础结构来提供内核内工具,以进行快速的数据包处理。 卡特兰(Katran)的主要功能:快速燃烧(特别是在驱动程序模式下带有XDP)。 性能可以通过许多NIC的RX队列进行线性扩展。 RSS友好的封装。 请参阅下面的详细功能说明-文档的各节:自述文件(此文件)-通用ov
Netfilter的完整结构
12-06
Netfilter的完整结构,综合其他文档后画出来的,绝对完整,看完后肯定让你一目了然,适合菜鸟学习的好东西,申请加精。。。
基于eBPF/XDP快速转发
04-02
传统网络转发路径是从L2L3,查询路由表然后转发,中间解析报文且分配SKB。 XDP转发路径可以下沉L2, 解析报文再封装,无SKB分配,高效且快速。 购买设计文档免费送源码, 免费咨询
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细
uc/os-ii 在Freescale 单片机MC9S12XDP512的移植
05-09
uc/os-ii 在Freescale 单片机MC9S12XDP512的移植
XDP(eXpress Data Path)原理
OS Developer的博客
05-06 911
讲解XDP的原理
Linux网络架构: XDP, iptables/netfilter和iproute2/tc/ip/Qdiscs
meihualing的专栏
05-06 800
说到Linux网络架构,就离不开谈。。。这些东西。这几个概念很容易混淆起来,但如果仔细去看,就会发现这个Linux网络架构的设计其实是非常简洁清晰的。
Exception in thread "main" java.lang.NoClassDefFoundError: javax/servlet/Servlet
11-03
java.lang.NoClassDefFoundError是Java虚拟机在运行时无法找到特定类的错误。在你的代码中,Java虚拟机无法找到javax.servlet.Servlet类,导致出现了异常。这通常是由于缺少相关的jar包或类路径不正确引起的。为了解决这个问题,你可以尝试以下方法: 1.检查你的类路径是否正确,确保包含了javax.servlet.Servlet类所在的jar包。 2.检查你的项目中是否缺少相关的jar包,如果缺少,可以尝试手动添加。 3.如果你使用的是Maven或Gradle等构建工具,可以尝试更新相关依赖。 4.如果你使用的是Eclipse或IntelliJ IDEA等IDE,可以尝试重新导入项目或清理项目缓存。 引用:https://www.cnblogs.com/xdp-gacl/p/3777983.html 引用:https://blog.csdn.net/qq_27093465/article/details/52170763

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值