linux中ip tunnel的实现及协议简介

最新推荐文章于 2024-01-12 14:28:58 发布
最新推荐文章于 2024-01-12 14:28:58 发布
阅读量1.2w 收藏 3
点赞数 1
分类专栏: 网络 文章标签: linux 网络 服务器 加密 互联网 vpn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starxu85/article/details/4301357
版权

一.实现

Linux 中,隧道的实现主要基于两个文件 new_tunnel.c ipip.c

  同时 Linux 定义了一种新的协议类型 --IPIP IPPROTO_IPIP ),与上面所说封包类型类似。

基本思路
 Linux IP Tunnel 的实现也分为两个部件:封装部件和解封部件,分别司职发送和接收。但这两个部分是在不同的层次以不同的方式实现的。封装部件是在数据链路层以虚设备的方式实现。所有源代码见

/usr/src/linux/drivers/net/new_tunnel.c


  为实现封装, Linux 实现一个称为 tunl 的网络设备(类似 loopback 设备),此设备具有其他网络设备共有的特征,对于使用此设备的上层应用来说,对这些网络设备不加区分,调用及处理方法当然也完全一样。


tunnel_init() tunnel_xmit() new_tunnel.c 中的两个主要过程。
tunnel_init() 初始化与设备 tunl 相关的 device 结构。



 tunnel_xmit() 在从 tunl 设备发送数据时被调用, tunl 设备作为实现 IP 隧道技术的封装部分,在此过程中完成对相应的数据报进行封装所需的全部操作,形成 IPIP 类型的 IP 包,并重新转发此数据包( ip_forward() )。

 解码器在 IP 的上层实现,系统把它作为一个虚的传输层(实际上与传输层毫无关系),具体处理见文件

/usr/src/linux/net/ipv4/ipip.c


 我们知道,每一个 IP 数据包均交由 ip_rcv 函数处理,在进行一些必要的判断后, ip_rcv 对于发送给本机的数据包将交给上层处理程序。对于 IPIP 包来说,其处理函数是 ipip_rcv (就如 TCP 包的处理函数是 tcp_rcv 一样, IP 层不加区分)。也就是说,当一个目的地址为本机的封包到达后, ip_rcv 函数进行一些基本检查并除去 IP 头,然后交由 ipip_rcv 解封。 ipip_rcv 所做的工作就是去掉封包头,还原数据包,然后把还原后的数据包放入相应的接收队列( netif_rx() )。

 从以上 IP Tunnel 实现的思想来看,思路十分清晰,但由于 IP Tunnel 的特殊性,其实现的层次并不单纯。实际上,它的封装和解封部件不能简单地象上面所说的那样分层。 tunl 设备虽应算进链路层,但其发送程序中做了更多的工作,如制作 IPIP 头及新的 IP 头(这些一般认为是传输层或网络层的工作),调用 ip_forward 转发新包也不是一个网络设备应当做的事。可以说, tunl 借网络设备之名,一把抓干了不少工作,真是 高效 。而解封部件宏观上看在网络层之上,解出 IPIP 头,恢复原数据包是它分内的事,但在它解出数据包(即原完整的协议数据包)后,它把这个包放入相应的协议接收队列。这种事可不是一个上层协议干的,这是网络设备中断接收程序的义务。看到了,在这点上,它好象到了数据链路层。


二.协议

1. 点对点隧道协议( PPTP

PPTP 协议允许对 IP IPX NetBEUI 数据流进行加密,然后封装在 IP 包头中通过企业 IP 网络或公共互联网络发送。

2. 2 层隧道协议( L2TP

L2TP 协议允许对 IP IPX NetBEUI 数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如 IP X.25 ,桢中继或 ATM

3 . 安全 IP IPSec) 隧道模式

IPSec 隧道模式允许对 IP 负载数据进行加密,然后封装在 IP 包头中通过企业 IP 网络或公共 IP 互联网络如 Internet 发送。

隧道协议
 为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。

 隧道技术可以分别以第 2 层或第 3 层隧道协议为基础。上述分层按照开放系统互联( OSI )的参考模型划分。第 2 层隧道协议对应 OSI 模型中的数据链路层,使用桢作为数据交换单位。 PPTP L2TP L2F (第 2 层转发)都属于第 2 层隧道协议,都是将数据封装在点对点协议( PPP )桢中通过互联网络发送。第 3 层隧道协议对应 OSI 模型中的网络层,使用包作为数据交换单位。 IP overIP 以及 IPSec 隧道模式都属于第 3 层隧道协议,都是将 IP 包封装在附加的 IP 包头中通过 IP 网络传送。

 提供 PPTP 客户机和 PPTP 服务器之间的加密通信。 PPTP 客户机是指运行了该协议的 PC 机,如启动该协议的 Windows95/98 PPTP 服务器是指运行该协议的服务器,如启动该协议的 WindowsNT 服务器。 PPTP PPP 协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网( VPN )的通信方式。远端用户能够透过任何支持 PPTP ISP 访问公司的专用网。

 通过 PPTP ,客户可采用拨号方式接入公用 IP 网。拨号用户首先按常规方式拨到 ISP 的接入服务器( NAS ),建立 PPP 连接;在此基础上,用户进行二次拨号建立到 PPTP 服务器的连接,该连接称为 PPTP 隧道,实质上是基于 IP 协议的另一个 PPP 连接,其中的 IP 包可以封装多种协议数据,包括 TCP IP IPX NetBEUI PPTP 采用了基于 RSA 公司 RC4 的数据加密方法,保证了虚拟连接通道的安全。对于直接连到互联网的用户则不需要 PPP 的拨号连接,可以直接与 PPTP 服务器建立虚拟通道。 PPTP 把建立隧道的主动权交给了用户,但用户需要在其 PC 机上配置 PPTP ,这样做既增加了用户的工作量,又会给网络带来隐患。另外, PPTP 只支持 IP 作为传输协议。

2 层转发( L2F
L2F Cisco 公司提出隧道技术,作为一种传输协议 L2F 支持拨号接入服务器将拨号数据流封装在 PPP 桢内通过广域网链路传送到 L2F 服务器(路由器)。 L2F 服务器把数据包解包之重新注入( inject) 网络。与 PPTP L2TP 不同, L2F 没有确定的客户方。应当注意 L2F 只在强制隧道中有效。(自愿和强制隧道的介绍参看 隧道类型 )。

2 层隧道协议( L2TP
L2TP 隧道协议是典型的被动式隧道协议,它结合了 L2F PPTP 的优点,可以让用户从客户端或访问服务器端发起 VPN 连接。 L2TP 是把链路层 PPP 帧封装在公共网络设施如 IP ATM 、帧中继中进行隧道传输的封装协议。

L2TP 主要由 LAC(L2TP Access Concentrator) LNS(L2TP Network Server) 构成, LAC 支持客户端的 L2TP ,用于发起呼叫、接收呼叫和建立隧道; LNS 是所有隧道的终点, LNS 终止所有的 PPP 流。在传统的 PPP 连接中,用户拨号连接的终点是 LAC L2TP 使得 PPP 协议的终点延伸到 LNS

L2TP 的好处在于支持多种协议,用户可以保留原有的 IPX Appletalk 等协议或公司原有的 IP 地址。 L2TP 还解决了多个 PPP 链路的捆绑问题, PPP 链路捆绑要求其成员均指向同一个 NAS(Network Access Server) L2TP 可以使物理上连接到不同 NAS PPP 链路,在逻辑上的终结点为同一个物理设备。 L2TP 还支持信道认证,并提供了差错和流量控制。

L2TP 利用 IPsec 增强了安全性,支持数据包的认证、加密和密钥管理。 L2TP/IPSec 因此能为远程用户提供设计精巧并有互操作性的安全隧道连接。这对安全的远程访问和安全的网关之间连接来说,它是一个很好的解决方案。因此,安全的 VPN 需要同时解决好 L2TP IPSec 这两个不同的问题。 L2TP 协议解决了穿过 IP 网络的不同用户协议的转换问题; IPSec 协议(加密 / 解密协议)解决了通过公共网络传输信息的保密问题。

IP 网上的 L2TP 使用 UDP 和一系列的 L2TP 消息对隧道进行维护。 L2TP 同样使用 UDP L2TP 协议封装的 PPP 桢通过隧道发送。可以对封装 PPP 桢中的负载数据进行加密或压缩。 PPTP L2TP

PPTP L2TP 都使用 PPP 协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

PPTP 要求互联网络为 IP 网络。 L2TP 只要求隧道媒介提供面向数据包的点对点的连接。 L2TP 可以在 IP (使用 UDP ),桢中继永久虚拟电路( PVCs),X.25 虚拟电路( VCs )或 ATM VCs 网络上使用。

PPTP 只能在两端点间建立单一隧道。 L2TP 支持在两端点间使用多隧道。使用 L2TP ,用户可以针对不同的服务质量创建不同的隧道。

L2TP 可以提供包头压缩。当压缩包头时,系统开销( overhead )占用 4 个字节,而 PPTP 协议下要占用 6 个字节。

L2TP 可以提供隧道验证,而 PPTP 则不支持隧道验证。但是当 L2TP PPTP IPSEC 共同使用时,可以由 IPSEC 提供隧道验证,不需要在第 2 层协议上验证隧道。

IPSec 隧道模式
IPSec IP 层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用 IP 层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。 IPSec 可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络( VPN )和安全隧道技术。

IPSEC 是第 3 层的协议标准,支持 IP 网络上数据的安全传输。本文将在 高级安全 一部分中对 IPSEC 进行详细的总体介绍,此处仅结合隧道协议讨论 IPSEC 协议的一个方面。除了对 IP 数据流的加密机制进行了规定之外, IPSEC 还制定了 IPoverIP 隧道模式的数据包格式,一般被称作 IPSEC 隧道模式。一个 IPSEC 隧道由一个隧道客户和隧道服务器组成,两端都配置使用 IPSEC 隧道技术,采用协商加密机制。

 为实现在专用或公共 IP 网络上的安全传输, IPSEC 隧道模式使用的安全方式封装和加密整个 IP 包。然后对加密的负载再次封装在明文 IP 包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文 IP 包头,对内容进行解密之后,获的最初的负载 IP 包。负载 IP 包在经过正常处理之后被路由到位于目标网络的目的地。

IPSEC 隧道模式具有以下功能和局限:
只能支持 IP 数据流
工作在 IP 栈( IPstack )的底层,因此,应用程序和高层协议可以继承 IPSEC 的行为。
由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

starxu85
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxip 命令 和 ifconfig 命令
墨鱼菜鸡
07-11 1519
From(试试Linux下的ip命令,ifconfig已经过时了):https://linux.cn/article-3144-1.html From(linux网络配置命令之ifconfig、ip和route):http://chrinux.blog.51cto.com/6466723/1188108 From(linux网络工具iproute2的...
Linux下用iptunnel实现×××通信
weixin_34293911的博客
04-23 179
Linux下用iptunnel实现×××通信环境:host A:外网IP: 122.42.42.10虚拟网卡:10.0.0.1host B:外网IP: 122.42.36.10虚拟网卡:10.0.8.1hostA配置:/sbin/modprobe ipip(名称)/sbin/iptunnel add tun0 mode ipip local 122.42.42.10 r...
ip tunnel
weixin_33753845的博客
08-16 217
| 1.1.1.12.2.2.2| +---------+Public+---------+|Private |ServerA+---------...
计网 - IPv6 协议Tunnel 技术是什么?
热门推荐
小工匠
07-04 1万+
文章目录PreIPv4 和 IPv6 相似点IPv6 地址IPv6 的寻址 Pre 计网 - IPv4 协议:路由和寻址的区别是什么? IPv4 用 32 位整数描述地址,最多只能支持 43 亿设备,显然是不够用的,这也被称作 IP 地址耗尽问题。 为了解决这个问题,有一种可行的方法是拆分子网。拆分子网,会带来很多问题,比如说内外网数据交互,需要网络地址转换协议(NAT 协议),增加传输成本。再比如说,多级网络会增加数据的路由和传输链路,降低网络的速度。理想的状态当然是所有设备在一个网络,互相可以通过
07 IPv6 协议Tunnel 技术是什么?
最新发布
我乐了的博客
01-12 1128
总结下,IPv6 解决的是地址耗尽的问题。因为解决了地址耗尽的问题,所以很多其他问题也得到了解决,比如说减少了子网,更小的封包头部体积,最终提升了性能等。除了本讲介绍的内容,下一讲你还会从局域网络看到更多对 NAT 技术的解读、对路由器的作用的探讨。随着 IPv6 彻底普及,你可以想象一下,运营商可以给到每个家庭一大批固定的 IP 地址,发布网页似乎可以利用家庭服务器……总之,林䭽也不知道最终会发生什么,我也对未来充满了期待,让我们拭目以待吧。
linux ip隧道配置手册
11-10
2. **创建隧道接口**:使用`iptunnel add tun0 mode gre remote REMOTE_IP local LOCAL_IP`命令创建一个名为`tun0`的GRE隧道接口,其`REMOTE_IP`和`LOCAL_IP`分别表示远端和本地的IP地址。 3. **启用接口**:执行`...
基于Linux系统下IP隧道的建立及其应用.pdf
09-07
1. 安装必要的内核模块,如`iptunnel`,这包含了多种隧道协议的支持。 2. 使用`ip`命令行工具来创建隧道接口,指定隧道的源和目标IP地址,以及隧道类型。 3. 配置隧道接口的IP地址,并设置路由规则,确保数据包能...
ip_route_output_slow() ip_route_input()与linuxtunnel技术实现 ipip_tunnel_lookup
tycoon的专栏
04-12 1910
Linux-2.6.21.1 网络函数调用流程    接收以太帧: netif_rx   -> queue   -> netif_receive_skb     -> bond  -> packet_type_all: deliver_skb  -> bridge  -> packet_type(IPV4)->func == ip_rcv   接收IPv4包: ip_rcv
linux内核vrrp配置,在Linux下的(VRRP)虚拟路由冗余协议介绍(转)
weixin_42316952的博客
05-10 512
Linux下的(VRRP)虚拟路由冗余协议介绍(转)[@more@]  这篇文章描述的是如何在Linux实现VRRP (Virtual Router Redundancy Protocol 虚拟路由器冗余协议)。是我本人在学习VRRP过程的一个小总结,并结合了一些其他资料,对VRRP的一些基本概念、原理及Linux如何实现VRRP的一个介绍,包括以下几个部分:1, VRRP介绍2, Linux...
LVS IP隧道模式(IP Tunneling)
会哭的雨@的博客
11-05 1989
一、 IP隧道模式 ip隧道是一个将ip报文封装到另一个ip报文的技术,这可以使得目标为一个ip地址的数据报文被封装和转发到另一个ip地址。ip隧道技术也成为ip封装技术。 它和NAT模式不同的是,它在LB和RS之间的传输不用改写IP地址(添加新的IP头)。而是把客户请求包封装在一个IP tunnel里面,然后发送给RS节点服务器,节点服务器接收到之后解开IP tunnel后,进行响应处理。并且直接把包通过自己的外网地址发送给客户不用经过LB服务器IP隧道技术主要用于移动主机和虚拟私有网络(Virtu
linux系统ip隧道技术,Linux IP in IP隧道简述
weixin_26757939的博客
05-05 1088
前言:IPIP隧道是一种三层隧道,通过把原来的IP包封装在新的IP包里面,来创建隧道传输。本篇简单分析Linux(2.6.32版本)IPIP隧道的实现过程,期望有所借鉴,造出轮子:-)一. IPIP的初始化LinuxIPIP隧道文件主要分布在tunnel4.c和ipip.c文件。因为是三层隧道,在IP报文填充的三层协议自然就不能是常见的TCP和UDP,所以,Linux抽象了一个隧道层,...
Linux - 虚拟网络设备- TUN,TAP,ip tunnel
vertor11的博客
09-12 5329
引用 Tun/Tap interface tutorial 什么是IP隧道,Linux怎么实现隧道通信? Linux内核网络设备--TUN. TAP设备 一. concep TUN设备:一种虚拟网络设备,点对点的设备。三层设备,即处理的是IP数据包。不需要物理地址,即不需要ARP。用于创建路由。因为通过读写/dev/tun设备可以直接从协议栈的三层读写ip包,所以tun设备常用于vpntunnelipsec之类的。 TAP设备:一种虚拟网络设备,ethernet以太网设备。二层设备,即处...
TUN(IP Tunneling)介绍
LieBrother
03-22 4032
通过IP隧道实现虚拟服务器(VS/TUN) 在VS/NAT 的集群系统,请求和响应的数据报文都需要通过负载调度器,当真实服务器的数目在10台和20台之间时,负载调度器将成为整个集群系统的新瓶颈。大多数 Internet服务都有这样的特点:请求报文较短而响应报文往往包含大量的数据。如果能将请求和响应分开处理,即在负载调度器只负责调度请求而响应直 接返回给客户,将极大地提高整个集群系统的吞吐量。
ip tunnel 隧道技术
码农崛起
12-07 1万+
配置两台主机的 lo地址,用来测试用,如果不做gre的话,互相是ping不同对方的回环地址的。 注意环境是 主机1的ip:192.168.1.1 lo地址:1.1.1.1 主机2的ip:192.168.1.2 lo地址: 2.2.2.1 root@liuhao1:~# ip addr add 1.1.1.1/24 dev lo root@liuhao2:~# ip addr add 2.2.2.1/24 dev lo 配置gre # 开启两个主机的 ip_forward ,可以写在sy
ip tunnel无法删除
weixin_34059951的博客
11-04 549
测试lvs的时候,添加了一个IP tunnel,如下:/sbin/ifconfig tunl0 $VIP broadcast $VIP netmask 255.255.255.255 up/sbin/route add -host $VIP dev tunl0测试完毕后,删除该IP tunnel时,死活删不掉,提示“ioctl:operation not permitted”...
LVS-Ip Tunnel模式应用(转)
W11098的专栏
03-01 801
一、什么是Ip Tunnel模式  Ip Tunnel,又叫IP隧道,顾名思义,LVS通过在IP数据包外面再封装了一层Ip Tunnel 头部,将数据包的源地址改写为LVS自身的物理地址,目的地址改写为RS的物理地址,从而实现跨网段访问RS。整个过程看起来好像LVS和RS之间有一条隧道,数据包通过这条虚拟的隧道进行传输。 如下图所示: Ip Tunnel封装  Ip Tunn...
使用IP tunnel打通私有网络
weixin_33970449的博客
05-16 397
需求有2个在不同地方的IDC机房,2个机房需要链接对方的内网。拓扑见下图。ServerA想直接访问到ServerB连接的私有网络 |+-----------+ 外网 +-------------+ |两个机器通过内网相互访问 + Server A + <--------...
使用ip tunnel打通私有网络
what, when, why, how...
09-02 2867
需求 有2个相互隔离的网络,拓扑见下图。ServerA想直接访问到ServerB连接的私有网络 | 1.1.1.1 2.2.2.2 | +---------+ Public +---------+ | Private ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值