理解Linux TunTap设备

已于 2023-05-26 13:09:23 修改
阅读量1.2k 收藏 7
点赞数
分类专栏: linux 计算机网络 k8s 文章标签: linux 网络 kubernetes
于 2023-05-26 11:10:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22918243/article/details/130882817
版权
k8s 同时被 3 个专栏收录
17 篇文章 2 订阅
订阅专栏
计算机网络
7 篇文章 0 订阅
订阅专栏
linux
5 篇文章 0 订阅
订阅专栏

入门

TUN/TAP是操作系统内核中的虚拟网络设备,可以完成用户空间与内核空间的数据的交互。网络协议栈中的数据通过该设备可以进入到用户空间中,而用户空间中的程序通过该设备空间进入到内核空间的网络协议栈。

TUN模拟的是三层设备,操作三层的数据包,而TAP模拟的二层设备,操作二层的数据包。

物理网卡与虚拟网卡的区别是,物理网卡是外界与内核空间的网络协议栈数据交互的门户,而虚拟网卡是用户空间和内核空间交互的门户。

/dev/net/tun​是linux提供的字符设备,写入该设备的数据会发送到虚拟网卡中,而发送到虚拟网卡中的数据也会出现在字符设备中。

应用程序通过tun设备获取ping数据包

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sQ4lwibx-1685070382243)(https://gcore.jsdelivr.net/gh/tenqaz/BLOG-CDN@main/无标题-2023-05-13-2359-20230514000046-x1gjzuq.png)]

app程序通过打开tun字符设备创建出tun虚拟网卡。然后通过ping命令发送ICMP数据包到网络协议栈中,这个过程是从用户空间到内核空间,再通过路由将数据包转发到tun虚拟网卡中,因为tun网卡特性,会进入到打开该tun设备用户空间app程序中。

app程序代码如下:

import os
import struct
from fcntl import ioctl

BUFFER_SIZE = 4096

# 完成虚拟网卡的注册
TUNSETIFF = 0x400454ca

# 设备模式
IFF_TUN = 0x0001
IFF_TAP = 0x0002


def create_tunnel(tun_name='tun%d', tun_mode=IFF_TUN):
    # 以读写的方式打开字符设备tun,获取到设备描述符
    tun_fd = os.open("/dev/net/tun", os.O_RDWR)

    # 对该设备进行配置,设备名称和设备模式。
    ifn = ioctl(tun_fd, TUNSETIFF, struct.pack(b"16sH", tun_name.encode(), tun_mode))

    # 获取到设备名称
    tun_name = ifn[:16].decode().strip("\x00")
    return tun_fd, tun_name


def main():
    tun_fd, tun_name = create_tunnel()

    while True:
        data = os.read(tun_fd, BUFFER_SIZE)
        print(f"get data from tun. data size = {len(data)}")


if __name__ == '__main__':
    main()

运行后输出:

# python3 tun_demo.py
Open tun/tap device: tun0 for reading...

通过ip a​命令发现tun设备已经创建,但其状态为DOWN

# ip a | grep -C tun
45: tun0: <POINTOPOINT,MULTICAST,NOARP> mtu 1500 qdisc noop state DOWN group default qlen 500
    link/none

对其设置一个ip并将它状态设置为UP

ip a add 192.37.1.2/24 dev tun0
ip link set tun0 up

配置好ip后,会发现自动配置了如下路由:

...
192.37.1.0/24 dev tun0 proto kernel scope link src 192.37.1.2 
...

再次查看tun设备,发现已经配置好

# ip a | grep tun0
45: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    inet 192.37.1.1/24 scope global tun0

并且这时会发现tun0已经接收到了3个数据包

# python3 tun_demo.py
Open tun/tap device: tun0 for reading...
get data from tun. data size = 52
get data from tun. data size = 52
get data from tun. data size = 52

这时候使用tcpdump监听tun0,执行ping 192.37.1.2,是有回包的,但是tcpdump却没有抓到任何包。

ping命令会根据目标IP地址和子网掩码来判断数据包的目的地,如果目的地在本地网络中,ping命令会直接将数据包发送到本地网络,而不是通过TUN设备发送。

# tcpdump -i tun0 -n
...

# ping 192.37.1.2 -c 3
PING 192.37.1.2 (192.37.1.2) 56(84) bytes of data.
64 bytes from 192.37.1.2: icmp_seq=1 ttl=64 time=0.148 ms
64 bytes from 192.37.1.2: icmp_seq=2 ttl=64 time=0.114 ms
64 bytes from 192.37.1.2: icmp_seq=3 ttl=64 time=0.316 ms

--- 192.37.1.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.114/0.192/0.316/0.089 ms

改为ping 192.37.1.3,可以看到程序收到了收到了数据包,tcpdump也抓到了包,但是因为没有做任何的处理也没有回包,所以ping命令看到不到回包。

# python3 tun_demo.py
Open tun/tap device: tun0 for reading...
get data from tun. data size = 52
get data from tun. data size = 52
get data from tun. data size = 52

get data from tun. data size = 88
get data from tun. data size = 88
get data from tun. data size = 88

# tcpdump -i tun0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
22:56:41.018149 IP 192.37.1.2 > 192.37.1.3: ICMP echo request, id 22559, seq 1, length 64
22:56:42.018871 IP 192.37.1.2 > 192.37.1.3: ICMP echo request, id 22559, seq 2, length 64
22:56:43.022732 IP 192.37.1.2 > 192.37.1.3: ICMP echo request, id 22559, seq 3, length 64

使用tun设备完成基于UDP的容器跨节点通信

使用tun设备基于UDP完成容器跨节点通信。如下图所示:

在这里插入图片描述

通信流程是,在Node1中的NS1进行ping Node2中NS2的veth0网卡的IP,ICMP的IP包会通过veth0到达veth1中,并进入到宿主机的网络协议栈,通过路由配置达到tun设备,这时app服务从tun设备中读取到IP包数据,然后将其封装在UDP包中,并通过eth0网卡发送到Node2的eth0网卡上,通过网络协议栈解包达到app程序中,拿到里面的IP包,将其写入到tun设备中,进入到网络协议栈中,通过路由达到veth1中,然后到达net ns1的veth0网卡。

app程序简单实现如下:

import os
import socket
import struct
import threading
from fcntl import ioctl
import click

BIND_ADDRESS = ('0.0.0.0', 7000)
BUFFER_SIZE = 4096

TUNSETIFF = 0x400454ca
IFF_TUN = 0x0001
IFF_TAP = 0x0002


def create_tunnel(tun_name='tun%d', tun_mode=IFF_TUN):
    tun_fd = os.open("/dev/net/tun", os.O_RDWR)
    ifn = ioctl(tun_fd, TUNSETIFF, struct.pack(b"16sH", tun_name.encode(), tun_mode))
    tun_name = ifn[:16].decode().strip("\x00")
    return tun_fd, tun_name


def start_tunnel(tun_name):
    os.popen(f"ip link set {tun_name} up")


def udp_server(udp_socket, tun_fd):
    while True:
        data, addr = udp_socket.recvfrom(2048)
        print("get data from udp.")
        if not data:
            break

        os.write(tun_fd, data)


@click.command()
@click.option("--peer_node_ip", "-p", required=True, help="对端节点IP")
def main(peer_node_ip):
    peer_node_addr = (peer_node_ip, 7000)

    tun_fd, tun_name = create_tunnel()
    start_tunnel(tun_name)

    udp_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    udp_socket.bind(BIND_ADDRESS)

    t = threading.Thread(target=udp_server, args=(udp_socket, tun_fd))
    t.daemon = True
    t.start()

    while True:
        data = os.read(tun_fd, BUFFER_SIZE)
        print(f"get data from tun. data size = {len(data)}")
        udp_socket.sendto(data, peer_node_addr)


if __name__ == '__main__':
    main()

在Node1中运行该程序,设置Node2 IP

python3 tun_app.py -p 10.65.132.187

可以看到已经创建了tun设备

# ip link show tun0
...
109: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet6 fe80::8e98:91a4:6537:d77a/64 scope link flags 800 
       valid_lft forever preferred_lft forever
...

在Node1中创建Network Namespace命名为net1,使用它来完成模拟容器网络。

ip netns add net1

然后创建veth pair,它们是一对网卡,分别为命名为veth0和veth1

ip link add veth0 type veth peer name veth1

将其一端接入到net1中,并设置好其IP地址为10.1.1.2/24

ip link set dev veth0 netns net1
ip netns exec net1 ip addr add 10.1.1.2/24 dev veth0
ip netns exec net1 ip link set dev veth0 up

开启在宿主机上的veth1网卡,并设置其IP为10.1.1.1/24

ip a add 10.1.1.1/24 dev veth1
ip link set dev veth1 up

再将net1中的默认路由设置成都走veth0,这样,ping Node2中net2的网络包可以到veth1中,也就进入到了宿主机的网络协议栈中。

ip netns exec net1 ip r add default via 10.1.1.1 dev veth0

在宿主机上还需要添加路由,访问Node2中net2时都路由到tun0设备

ip r add 10.1.2.0/24 dev tun0

这时,在Node1 net1中ping Node2 net2时,正常来说是可以在app中看到从tun收到IP包的,虽然没有回包,那是因为app程序收到包后没有做任何回包操作。

# ip netns exec net1 ping 10.1.2.2 -c 3
PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
--- 10.1.2.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2001ms

我们通过tcpdump抓取veth1网卡,可以看到收到了ARP请求,想要获取10.1.2.2的MAC地址,但是一直获取不到,所以导致IP包无法通过路由达到TUN设备

# tcpdump -i veth1 -n
00:45:13.988076 ARP, Request who-has 10.1.2.2 tell 10.1.1.2, length 28

这个时候需要开启veth1的arp代理,将veth1的MAC地址作为ARP的回复。

echo 1 >  /proc/sys/net/ipv4/conf/veth1/proxy_arp

再次ping Node2 net2时,可以看到tcpdump看到ARP中回复的MAC地址为veth1的地址。

# tcpdump -i veth1 -n
00:45:13.988076 ARP, Request who-has 10.1.2.2 tell 10.1.1.2, length 28
00:45:13.988100 ARP, Reply 10.1.2.2 is-at 4e:7c:bf:fe:4d:0f, length 28

# ip a | grep -C 3 veth1
...
107: veth1@if108: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4e:7c:bf:fe:4d:0f brd ff:ff:ff:ff:ff:ff link-netnsid 3
    inet 10.1.1.1/24 scope global veth1
       valid_lft forever preferred_lft forever
...

并且app程序中也从tun设备中获取到了IP包。

# python3 tun_app.py -p 10.65.132.187
get data from tun. data size = 52
get data from tun. data size = 52
get data from tun. data size = 52
get data from tun. data size = 88
get data from tun. data size = 88
get data from tun. data size = 88

到这一步,Node1的基本配置完成,接下来配置Node2,配置的方法与Node1一致,在Node2执行命令如下:

# 开启app程序
python3 tun_app.py -p 10.61.74.37

# 新增network namespace net2
ip netns add net2

# 新增veth pair设备
ip link add veth0 type veth peer name veth1

# 配置veth pair设备
ip link set dev veth0 netns net2
ip netns exec net2 ip addr add 10.1.2.2/24 dev veth0
ip netns exec net2 ip link set dev veth0 up

ip a add 10.1.2.1/24 dev veth1
ip link set dev veth1 up

# 添加默认路由
ip netns exec net2 ip r add default via 10.1.2.1 dev veth0

# 添加tun0设备路由
ip r add 10.1.1.0/24 dev tun0

# 开启arp代理
echo 1 >  /proc/sys/net/ipv4/conf/veth1/proxy_arp

配置完成后,在Node1的net1中ping Node2的net2,可以ping通有回包。

# ip netns exec net1 ping 10.1.2.2 
PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
64 bytes from 10.1.2.2: icmp_seq=1 ttl=62 time=5.46 ms
64 bytes from 10.1.2.2: icmp_seq=2 ttl=62 time=4.67 ms
64 bytes from 10.1.2.2: icmp_seq=3 ttl=62 time=5.52 ms

巨人的肩膀

欢迎关注,互相学习,共同进步~

我的个人博客
公众号:编程黑洞

编程黑洞zz
关注
专栏目录
理解linux虚拟网络设备tun
Deepexi_Date的博客
12-09 861
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 tunlinux的另一种虚拟网络设备,与前面讲过的veth类似,只是另一端连的不一样,veth设备是一端连着内核协议栈,另一端连着另一个netns的协议栈;而tun设备是一端连着内核协议栈,另一端连接着一个用户程序,任何时候从协议栈发到tun网卡的数据都能从用户程序中读到,而从用户程序写到/dev/net/tun的数据都会被
Linux TAPTUN网卡的区别详解
CloudJourney的博客
06-22 963
通过对TAPTUN设备的深入比较和分析可以看出它们在工作原理、应用场景和功能特性上存在显著的差异。TAP设备模拟了一个以太网接口并支持MAC地址相关的操作因此适用于需要模拟真实网络环境的场景如虚拟机、容器等;而TUN设备则专注于IP数据包的传输和处理适用于需要建立加密通道或网络隧道的场景如VPN、远程访问等。在实际应用中我们需要根据具体的需求和场景来选择合适的虚拟网络设备以实现高效、安全的网络通信和数据传输。随着云计算、容器化等技术的不断发展网络虚拟化技术将在未来发挥更加重要的作用。
Linux虚拟网络设备学习笔记
最新发布
dangdanding的专栏
07-03 225
linux系统上的虚拟网络设备
LinuxTUN/TAP编程
stonesharp的专栏
06-23 2309
TUN/TAP虚拟网络设备为用户空间程序提供了网络数据包的发送和接收能力。他既可以当做点对点设备TUN),也可以当做以太网设备TAP)。实际上,不仅Linux支持TUN/TAP虚拟网络设备,其他UNIX也是支持的,他们之间只有少许差别。原理简介TUN/TAP 虚拟网络设备的原理比较简单,他在Linux内核中添加了一个TUN/TAP虚拟网络设备的驱动程序和一个与之相关连的字符设备 /dev/ne
Linux - 虚拟网络设备- TUNTAP,ip tunnel
vertor11的博客
09-12 5462
引用 Tun/Tap interface tutorial 什么是IP隧道,Linux怎么实现隧道通信? Linux内核网络设备--TUN. TAP设备 一. concep TUN设备:一种虚拟网络设备,点对点的设备。三层设备,即处理的是IP数据包。不需要物理地址,即不需要ARP。用于创建路由。因为通过读写/dev/tun设备可以直接从协议栈的三层读写ip包,所以tun设备常用于vpn、tunnel、ipsec之类的。 TAP设备:一种虚拟网络设备,ethernet以太网设备。二层设备,即处...
Linux虚拟设备TUN/TAP设备原理与实现
白话机器学习
07-26 1102
TUN/TAP设备Linux下的一种虚拟设备,相对虚拟设备来说,一般计算机所使用的网卡就是物理设备。物理设备有发送和接收网络数据包的能力,而虚拟设备的作用就是模拟物理设备,提供特殊的发送和接收功能。由于TUN/TAP设备是虚拟的设备,所以不能像网卡一样从网络中接收数据包(因为虚拟设备没有接口),那么TUN/TAP设备从哪里读取数据,又把数据发送到哪里去呢?下面通过一张图来阐述TUN/TAP设备的工作方式 (图片来源于):上图的右下角是物理网卡,它能从物理链路读取和发送数据。而左下角是。
Linux 网络设备 - TUN/TAP
qq_38350702的博客
12-26 1192
100% packet loss告诉我们 ping 命令没有响应,但是,我们同时也注意到在用户空间程序的日志中,打印出了我们接收到的数据包,说明至少数据包经过路由匹配后被发送到tap0设备,进而转发到连接tap0设备的用户空间程序,按照正常思路,只要我们接收到数据包并且按照规范处理,那 ping 命令收到响应只是迟早的事情。所以,逻辑上来说,TUN/TAP 设备类似一块真实的物理网卡,而绑定 TUN/TAP 设备的用户空间程序则类似一台仅处理网络数据包的 Remote PC。
Linux虚拟网络设备tuntap
11-23
在现在的云时代,到处都是虚拟机和容器,它们背后的网络管理都离不开虚拟网络设备,所以了解虚拟网络设备有利于我们更好的理解云时代的网络结构。从本篇开始,将介绍Linux下的虚拟网络设备
tuntap:适用于Crystal的TUNTAP驱动程序
02-04
TUNTAP驱动程序是Linux操作系统中的一个重要组成部分,它允许用户空间程序模拟网络接口,如TUN网络设备)和TAP(数据链路层设备)。在“tuntap:适用于Crystal的TUNTAP驱动程序”这个主题中,我们将深入探讨...
基于Linux虚拟网卡测试平台的系统设计.pdf
09-06
在设计这个测试平台时,首先需要深入理解Linux网络驱动模型。Linux网络驱动框架包括协议栈、网络设备驱动和物理层驱动等部分,它们协同工作,确保数据包从应用层经过网络层、传输层直至物理层的传输。虚拟网卡的设计...
linux查看ipsec命令,Linux 下基于路由 IPsec 的花式实践
weixin_30811273的博客
05-05 1155
动机IPsec 转发流量有两种方式,一种是基于策略,另外一种是基于路由。本文将尝试阐述基于路由的 IPsec 核心概念和实现原理并引出一些花式玩法。IPsec 带给计算机世界的困惑在计算机世界里面,核心的一个概念就是路由,其定义了某个指定的数据包要从哪个接口出去的规则。很多软件和命令都是基于这个事实来设计的。譬如 iproute 包,各类路由软件,iptables 等等。但是在 IPsec 的世界...
Linux 网络命令大全
qq_34749144的博客
06-14 1736
总的来说,Linux 网络命令涉及到这么几块: - 网络配置: ifconfig、 ip - 连通性探测: ping、 traceroute、 telnet、 mtr - 网络连接: netstat、 ss、 nc、 lsof - 流量统计: ifstat、 sar、 iftop - 交换与路由: arp、 arping、 vconfig、 route - 防火墙: iptables、 ipset...
Linux tun:tap 详解
yufei82314的博客
11-11 2425
tuntap区别
Linux:虚拟网卡技术tun/tap
hhd1988的专栏
05-30 4286
Linux:虚拟网卡技术tun/tap
Linux 虚拟网络设备 tun/tap veth pair
qq_34285557的博客
05-17 1392
Linux 虚拟网络设备 tun/tap veth pair 本篇主要介绍一下 linux 下面的 虚拟网络设备 tun/tap veth pair 随着容器逐步取代虚拟机,成为云基础架构的标准,然而容器的网络管理部分是离不开 Linux虚拟网络设备的,所以了解常用的Linux 虚拟网络设备对于我们云理解网络架构很有帮助 Linux虚拟网络的背后都是由一个个虚拟设备构成的,在虚拟化技术还没出现之前,计算机网络系统一般都只包含物理网卡设备 由于虚拟化技术的出现,网络也需要被虚拟化,虚
Linux 虚拟机使用tap设备
神童i的博客
05-05 1323
为了给bochs配置网络,前几个月一直在折腾tun/tap设备,一直也没弄明白,后来使用bochs的vnet模式晢时替代了一段时间,而且支持的协议有限(arp, dhcp, icmp, tftp),所以要测试更多协议,就要使用tun/tap设备,所以去百度了一些文章,一般都是说先modinfo, 然后再lsmod查看有没有tun这个模块,没有的话要重新编译模块,再加载进来,但是现在据我所知,现...
Linux-虚拟网络设备-tun/tap
热门推荐
sld880311的专栏
09-05 2万+
基本概念 A gateway to userspace。      TUNTAP设备Linux内核虚拟网络设备,纯软件实现。      OS向连接到TUN/TAP设备的用户空间程序发送报文;用户空间程序可像物理口发送报文那像向TUN/TAP口发送报文,在这种情况下,TUN/TAP设备发送(或注入)报文到OS协议栈,就像报文从物理端口收到一样。 链接: TUN/TAP:
linux下实现虚拟网卡TAP/TUN例子
雜貨鋪
07-06 1583
原文地址:http://blog.csdn.net/xuxinyl/article/details/6454119   我们在使用VMWARE的虚拟化软件时经常会发现它们能都能虚拟出一个网卡,貌似很神奇的技术,其实在Linux下很简单,有两种虚拟设 备,TUN时点对点的设备,tap表示以太网设备的,做为虚拟网卡驱动,Tun/tap驱动程序的数据接收和发送并不直接和真实网卡打交道,而是通 过
Linux下用虚拟网络设备进行广域网配置实验报告
05-26
本实验旨在通过创建虚拟网络设备,在Linux操作系统上进行广域网配置实验。以下是实验报告: 一、实验环境 1. 操作系统:Ubuntu 20.04 LTS 2. 虚拟机软件:VirtualBox 6.1.22 二、实验步骤 1. 创建两个虚拟机,分别命名为Router和Host,并设置虚拟机的网络适配器为“仅NAT网络”模式。 2. 在Router虚拟机上创建两个虚拟网络设备tun0和tun1。其中,tun0设备为本地网络连接,IP地址为192.168.1.1/24;tun1设备为广域网连接,IP地址为10.0.0.1/24。 ``` sudo ip tuntap add mode tun tun0 sudo ip tuntap add mode tun tun1 sudo ip link set dev tun0 up sudo ip link set dev tun1 up sudo ip addr add 192.168.1.1/24 dev tun0 sudo ip addr add 10.0.0.1/24 dev tun1 ``` 3. 在Host虚拟机上创建一个虚拟网络设备tun0,IP地址为192.168.1.2/24。 ``` sudo ip tuntap add mode tun tun0 sudo ip link set dev tun0 up sudo ip addr add 192.168.1.2/24 dev tun0 ``` 4. 在Router虚拟机上启用IP转发功能。 ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 5. 在Router虚拟机上设置路由,将Host虚拟机的数据包转发到tun1设备。 ``` sudo ip route add 192.168.1.0/24 dev tun0 sudo ip route add default via 10.0.0.2 dev tun1 ``` 6. 在Host虚拟机上设置默认网关为Router虚拟机的tun0设备。 ``` sudo ip route add default via 192.168.1.1 dev tun0 ``` 7. 测试网络连接,Host虚拟机可以ping通Router虚拟机的tun0设备tun1设备。 三、实验总结 通过本实验,我们成功地创建了虚拟网络设备,在Linux操作系统上进行了广域网配置实验。我们可以通过创建虚拟网络设备,实现不同网络之间的连接,并进行数据传输。虚拟网络设备的创建和配置,是Linux系统网络配置的一个重要部分,也是进行网络编程和网络调试的必备技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值