TUN 设备原理

已于 2022-03-30 10:56:40 修改
阅读量4.6k 收藏 24
点赞数 5
分类专栏: 网络协议 文章标签: kubernetes 网络
于 2021-01-25 10:58:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrpre/article/details/113105456
版权

TUN 设备原理

本文要阐述的就是 sslvpn 的运行机制。对其问题进行技术上的细化,就是要解决两个被公网环境独立开的私网,如何建立通道。核心细节就是tun设备。TUN设备还被用来在flannel中,作为跨宿主机容器间网络通信。

simpletun

首先玩一下简单的例子 https://github.com/gregnietsky/simpletun.git 然后有个直观的感受

我们找2台机器 分别使用make命令编译上述代码,生成 二进制 simpletun

A物理ip 11.238.116.73
B物理ip 11.238.116.75

在B机器上执行

sudo ./simpletun -i tun90 -s -d  &
sudo ifconfig tun90 6.6.6.2/24

在A机器上执行

sudo ./simpletun -i tun90 -c 11.238.116.75 -d &
sudo ifconfig tun90 6.6.6.1/24

simpletun 二进制会帮助生成一个叫做 tun90的虚拟网卡,然后我们使用ifconfig来进行ip地址的分配
其次,B机器上,通过-s告诉simpletun 监听 本机TCP 的 55555 端口,并且作为服务端;A机器上通过-c命令附加B的物理ip。

启动完成之后,在A机器上执行ping 6.6.6.2会出现如下日志,部分日志是ping的输出,表示ping成功,部分是simpletun打印的日志。

PING 6.6.6.2 (6.6.6.2) 56(84) bytes of data.
TAP2NET 4: Read 84 bytes from the tap interface
TAP2NET 4: Written 84 bytes to the network
NET2TAP 4: Read 84 bytes from the network
NET2TAP 4: Written 84 bytes to the tap interface
64 bytes from 6.6.6.2: icmp_seq=1 ttl=64 time=39.7 ms
TAP2NET 5: Read 84 bytes from the tap interface
TAP2NET 5: Written 84 bytes to the network
NET2TAP 5: Read 84 bytes from the network
NET2TAP 5: Written 84 bytes to the tap interface
64 bytes from 6.6.6.2: icmp_seq=2 ttl=64 time=39.9 ms

同样的,我们在B上面执行nc -l -k 9090监听 本机9090端口程序,然后再A上面执行nc 6.6.6.2 9090后敲入abc

A的输出
$nc 6.6.6.2 9090
TAP2NET 12: Read 60 bytes from the tap interface
TAP2NET 12: Written 60 bytes to the network
NET2TAP 11: Read 60 bytes from the network
NET2TAP 11: Written 60 bytes to the tap interface
TAP2NET 13: Read 52 bytes from the tap interface
TAP2NET 13: Written 52 bytes to the network
abc
TAP2NET 14: Read 56 bytes from the tap interface
TAP2NET 14: Written 56 bytes to the network
NET2TAP 12: Read 52 bytes from the network
NET2TAP 12: Written 52 bytes to the tap interface


B的输出
NET2TAP 12: Read 60 bytes from the network
NET2TAP 12: Written 60 bytes to the tap interface
TAP2NET 11: Read 60 bytes from the tap interface
TAP2NET 11: Written 60 bytes to the network
NET2TAP 13: Read 52 bytes from the network
NET2TAP 13: Written 52 bytes to the tap interface
NET2TAP 14: Read 56 bytes from the network
NET2TAP 14: Written 56 bytes to the tap interface
TAP2NET 12: Read 52 bytes from the tap interface
TAP2NET 12: Written 52 bytes to the network
abc

我们发现,A机器通过tcp 访问 6.6.6.2的9090端口,这个6.6.6.0/24相当于私网请求,而 A和B之间的网路根本没有6.6.6.0/24网段的路由,那么 B如何收到到A发送的私网请求呢,这当然是我们本文需要解释的疑惑。

TUN设备特性

对于 tun 设备的write操作(open tun,然后对fd进行write),tun在内核态获取到用户态数据后,调用netif_rx,通常情况下,netif_rx这个函数只有在机器收到报文是调用提交给协议栈,说明我们对tun设备的write操作,相当于让机器模拟收包。所以很关键的一点就是,tunwrite的数据必须要包含三次协议头(IP),否则linux协议栈无法将其路由。

对于 tun 设备的获取数据操作,首先tun设备在什么情况下,会获取到数据呢?即当我们在外部应用程序毫无感知tun设备存在的情况下,tun设备是如何获取到外部程序的数据的。

首先tun设备是有三层ip地址的,也就是意味着,tun设备可以被作为三层转发接口发送数据,我们只需要让 外部程序 发出的请求,被路由到tun设备即可。例如 我们访问200.100.1.1这个公网地址走tun设备,route add -net 200.100.1.1/32 dev tun90,这样请求就会走tun口出去。

然后 tun设备的 驱动程序 和 常规的类似eth不同,它不会真的将数据从自己接口发出去。

tun设备的发送接口,做的操作是将 数据 保存下来放到自己的list上,然后通知监听tun设备的用户程序进行读取。

所以想要TUN拦截到数据,那么需要应用程序的目的地址,能从TUN设备口“出去”,配置一条路由就是常见的操作。

注意 tun设备获取到的数据,时携带三层头的数据。

TUN 实践

上解讲了TUN设备的特性,所有的特性均是TUN的字符驱动和设备驱动实现,我们结合这个特性,就能做出一个简单的私网穿越功能,也就是开头 simpletun 的功能

在这里插入图片描述

请求发送

1、应用程序发送数据,例如ping到 6.6.6.2,因为本机配置的路由等规则,数据被linux内核路由到 tun90进行发送。

2、tun90 获取到数据后,不会进行真的发送操作,,而是封装成三层报文,然后放到自己队列里面,等待用户程序进行读取,这就是tun设备的特性。
此时 tun client会获取到数据。数据是包含三层头的的数据,其中源ip是 tun设备的6.6.6.1 目的地址是应用程序访问的目的地址 6.6.6.2。

3、tun client 将 这个包含三层头的数据,通过公网发送,自然 这个公网上的五元组是本机物理地址以及目的物理地址,自然这个报文能够通过公网发送。

4、tun server 收到 数据,这个数据就是 上一步2中的数据,包含了6.6.6.1->6.6.6.2这个三层头的数据,tun server写到tun设备。

5、tun90 收到用户的write操作之后,会将数据扔到linux协议栈,linux协议栈就去解析 6.6.6.1->6.6.6.2这个三层头的数据怎么转发,自然 6.6.6.2 是自己本机地址,自然能处理。

注意 1 的发送,实际是 tun设备的xmit发送,4的write实际是tun设备的receive,是不一样的。

本例只是以PING为例子。如果 物理机A 的 应用程序 访问的是 一个 公网的地址,例如100.100.100.100,那么,物理机B如果在开启了ip_forward并且自己和100.100.100.100通,那么,这个请求就被转发到了100.100.100.100,开启nat的情况下,会向公网发出 11.238.116.75 -> 100.100.100.100 的请求,响应数据 100.100.100.100->11.238.116.75 回来后依靠nat还原成100.100.100.100->6.6.6.1。

数据响应
回包的也很有意思

6、假设 机器B要回复 6.6.6.1->6.6.6.2 PING对应的 响应包,那么机器B的回复响应的IP头是 6.6.6.2->6.6.6.1,这个包会被路由机器的tun90,这个过程相当于上述发送过程的1,tun90拦截到这个包之后,期待 tun server将其读取。

7、tun server探测到tun设备有数据,于是就读取数据,数据是包含6.6.6.2->6.6.6.1这个ip头的数据。

8、tun server 使用 tun client建立的通道,将数据通过公网传输至client。

9、tun client 将数据写入到 机器A的tun。

10、根据 tun 特性,tun 机会将 包含 6.6.6.2->6.6.6.1这个ip头的数据 的数据扔会协议栈,linux 就能 这样,外部执行的ping就能获取到响应数据。

Mrpre
关注
专栏目录
零入门kubernetes网络实战-17->tun设备介绍以及原理说明
码二哥的技术池
02-22 569
《零入门kubernetes网络实战》视频专栏地址 https://www.ixigua.com/7193641905282875942
零入门kubernetes网络实战-22->基于tun设备实现在用户空间可以ping通外部节点(golang版本)
码二哥的技术池
03-10 714
《零入门kubernetes网络实战》视频专栏地址 https://www.ixigua.com/7193641905282875942
TUN/TAP设备浅析(一) -- 原理浅析
热门推荐
李树花开,风中摇曳
06-12 2万+
TUN/TAP设备浅析TUN设备TUN 设备是一种虚拟网络设备,通过此设备,程序可以方便地模拟网络行为。TUN 模拟的是一个二层设备,也就是说,通过它可以处理来自网络层的数据,更通俗一点的说,通过它,我们可以处理 IP 数据包。先来看看物理设备是如何工作的:上图中的 eth0 表示我们主机已有的真实的网卡接口 (interface)。网卡接口 eth0 所代表的真实网卡通过网线(wire)和外部网络
simpletun:一款轻量级的隧道工具,简化你的网络连接!
最新发布
gitblog_00623的博客
08-22 384
simpletun:一款轻量级的隧道工具,简化你的网络连接! simpletunExample program for tap driver VPN项目地址:https://gitcode.com/gh_mirrors/si/simpletun 简单却强大,这就是simpletun——一个旨在提供基本网络隧道功能的小巧程序。如果你在寻找无需复杂配置就能快速搭建点对点通信的解决方案,那你来对地方了...
虚拟网络技术:TUN设备
lsz137105的专栏
09-07 3164
本文首发于我的公众号码农之屋(id:Spider1818),专注于干货分享,包含但不限于Java编程、网络技术、Linux内核及实操、容器技术等。欢迎大家关注,二维码文末可以扫。 导读:云化场景到处都是虚拟机和容器,它们背后的网络管理都离不开虚拟网络设备,了解虚拟网络设备将有助于我们更好地理解云化场景的网络架构。本篇文章将对Linux的TUN进行介绍。 一、虚拟网络设备和物理网络设备的区...
lvs-tun原理配置
zerozhuxiaozhu的博客
09-28 946
同样在了解lvs-tun之前了解一些必备的网络知识: 封包:数据要在通讯系统中必须要先经过某些处理,才能在网络当中传递,例如将数据切割为数个区块之后,才能在网络上依照某种通讯协议来传送,这种过程就好像将包裹打包一样,称为分封。算了,这个貌似涉及的内容比较 复杂,改天一起整理一下。 IP隧道技术:是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。 隧道技术是一种数
TUN/TAP设备浅析
hbcbgcx的博客
06-14 2668
https://blog.csdn.net/lishuhuakai/article/details/73136442 TUN/TAP设备浅析 TUN设备 TUN 设备是一种虚拟网络设备,通过此设备,程序可以方便地模拟网络行为。TUN 模拟的是一个三层设备,也就是说,通过它可以处理来自网络层的数据,更通俗一点的说,通过它,我们可以处理 IP 数据包。 先来看看物理设备是如何工作的: 上图中的 et...
网络虚拟化之 tun/tap 网络设备
Keep Moving~
05-24 3614
本文将详细介绍 tun/tap 设备原理及应用,希望能通过本文的介绍读者能对 tun/tap 网络设备有一个更加全面的了解。
LVS 负载均衡之工作原理说明(TUN模式)
看清所以看轻
09-13 364
LVS-TUN模式:它的连接调度和管理与VS/NAT中的一样,利用ip隧道技术的原理,即在原有的客户端请求包头中再加一层IP Tunnel的包头ip首部信息,不改变原来整个请求包信息,只是新增了一层ip首部信息,再利用路由原理将请求发给RS server,不过要求的是所有的server必须支持”IPTunneling”或者”IP Encapsulation”协议。 CIP:202.10.1.10...
Tun虚拟接口应用总结
生如夏莲的专栏
10-17 3119
一、实现原理 Linux内核的TUN/TAP虚拟设备,不同于内核的其它设备,其发送和接收数据包都在网络协议栈内部完成,发送的数据包并不会离开协议栈进入到物理网络中,同样,也不会接收到从物理网络中进入协议栈的数据包。 用户空间的设备节点/dev/net/tun用于读写TUN/TAP设备,内核中TUN/TAP设备在发送数据包时,将数据包发送到与/dev/net/tun文件描述符相关联的套接口...
tun/tap虚拟网卡收发机制解析
oatlmy
10-29 9370
tun/tap虚拟网卡收发机制
Linux - 虚拟网络设备- TUN,TAP,ip tunnel
vertor11的博客
09-12 5562
引用 Tun/Tap interface tutorial 什么是IP隧道,Linux怎么实现隧道通信? Linux内核网络设备--TUN. TAP设备 一. concep TUN设备:一种虚拟网络设备,点对点的设备。三层设备,即处理的是IP数据包。不需要物理地址,即不需要ARP。用于创建路由。因为通过读写/dev/tun设备可以直接从协议栈的三层读写ip包,所以tun设备常用于vpn、tunnel、ipsec之类的。 TAP设备:一种虚拟网络设备,ethernet以太网设备。二层设备,即处...
LVS之TUN(隧道模式)
wzt888的博客
02-17 6569
有关lvs的相关知识可以去查看之前写的DR模型 VS/TUN的体系结构如图所示,各个服务器将VIP地址配置在自己的IP隧道设备上。 VS/TUN模式的工作原理: (1)IP隧道技术又称为IP封装技术,它可以将带有源和目标IP地址的数据报文使用新的源和目标IP进行第二次封装,这样这个报文就可以发送到一个指定的目标主机上; (2)VS/TUN模式下,调度器和后端服务器组之间使用IP隧道技...
tun/tap 设备
jason的笔记
10-04 1676
tun/tap是一个虚拟网卡驱动,为用户态程序提供网络数据包的发送和接收能力,tun/tap 包含一个字符设备驱动和一个网卡驱动,利用网卡驱动接收来自tcp/ip协议栈的网络分包并发送或者将接收到的网络分包传给协议栈处理。 用户可以通过ip tuntao add veth1 mode tap的方式来创建tap设备 其驱动是一个ko,源码在drivers/net/tun.c中 从下面的入口函数可以...
TUN/TAP设备浅析(三) -- TUN/TAP设备的应用
李树花开,风中摇曳
06-12 4300
上一篇文章主要讲述了TUN/TAP设备的一些原理,你可能会好奇,TUN/TAP设备究竟有什么用处呢?所以这篇文章,我想用一些实际的例子来回答这个问题。例子源自陈硕老师的博客,博文中关于TUN/TAP设备的使用非常典型,对原文感兴趣的同学可以查看这里:http://blog.csdn.net/solstice/article/details/6579232背景:在一台 PC 机上模拟 TCP 客户端程
LVS | LVS 的三种工作方式(TUN原理)(三)
挖坑埋你
01-11 1759
很多网络上的文章都为读者介绍DR和TUN的工作方式类似,要么就是直接讲解DR模式和TUN模式的安装配置方式,然后总结两种模式类似。那为什么有了DR模式后还需要TUN模式呢?为什么ipvsadmin针对两种模式的配置参数不一样呢? 实际上LVS-DR模式和LVS-TUN模式的工作原理完全不一样,工作场景完全不一样。DR基于数据报文重写,TUN模式基于IP隧道,后者是对数据报文的重新封装。下面我们就
虚拟网络设备 tap/tun 原理解析
韩会强的博客
11-16 4986
在云计算时代,虚拟机和容器已经成为标配。它们背后的网络管理都离不开一样东西,就是虚拟网络设备,或者叫虚拟网卡,tap/tun 就是在云计算时代非常重要的虚拟网络网卡。 tap/tun 是什么# tap/tun 是 Linux 内核 2.4.x 版本之后实现的虚拟网络设备,不同于物理网卡靠硬件网路板卡实现,tap/tun 虚拟网卡完全由软件来实现,功能和硬件实现完全没有差别,它们都属于网络设备,都可以配置 IP,都归 Linux 网络设备管理模块统一管理。 作为网络设备,tap/tun 也需要配套相应的
理解linux虚拟网络设备tun
Deepexi_Date的博客
12-09 868
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 tun是linux的另一种虚拟网络设备,与前面讲过的veth类似,只是另一端连的不一样,veth设备是一端连着内核协议栈,另一端连着另一个netns的协议栈;而tun设备是一端连着内核协议栈,另一端连接着一个用户程序,任何时候从协议栈发到tun网卡的数据都能从用户程序中读到,而从用户程序写到/dev/net/tun的数据都会被
linux tun 源码解析
06-06
Linux TUN/TAP设备是一种虚拟网络设备,它能够模拟一个网络接口。通过TUN/TAP设备,用户空间的程序可以像操作物理网络设备一样,发送和接收网络数据包。 TUN/TAP设备主要有两种模式:TUN模式和TAP模式。TUN模式主要用于IP层协议,TAP模式主要用于以太网层协议。两种模式的差异在于数据包的处理方式不同。 在Linux内核中,TUN/TAP设备的实现位于`drivers/net/tun.c`文件中。该文件中定义了一个名为`tun_net`的网络设备对象,并实现了`tun_chr_write_iter()`、`tun_chr_read_iter()`等函数,用于处理用户空间和内核空间之间的数据交互。 当用户空间的程序打开TUN/TAP设备时,会创建一个名为`tunX`的虚拟接口,其中`X`是一个数字,表示设备的编号。内核会将数据包发送到该虚拟接口,然后用户空间的程序可以通过读取该接口的文件描述符来接收数据包。同样地,用户空间的程序可以通过写入该接口的文件描述符来发送数据包。 TUN/TAP设备的实现使用了内核中的网络协议栈,因此它能够与其他网络设备无缝交互。用户空间的程序可以使用标准的套接字接口来与TUN/TAP设备进行通信,实现虚拟网络设备和物理网络设备之间的数据交换。 总之,TUN/TAP设备是一个非常有用的工具,它可以用于各种网络应用程序,如虚拟私有网络(VPN)和网络隧道。通过了解TUN/TAP设备的实现,我们可以更好地理解网络协议栈和Linux内核的工作原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值