【网络】Linux 网络支持隧道

已于 2023-09-01 15:31:50 修改
阅读量495 收藏 2
点赞数
分类专栏: 网络 文章标签: 网络 linux 服务器
于 2023-08-25 17:58:24 首次发布
原文链接:https://blog.crazytaxii.com/posts/an_introduction_2_tunnel/
版权

Linux 支持多种隧道,但是新用户可能搞不清它们之间的区别,无法因地制宜。本文简要介绍 Linux 内核中常用的隧道,没有代码。通过 iproute2 命令 ip link help 来查看隧道网卡的列表和某个隧道配置的帮助文档。

常用的隧道:

  • IPIP 隧道
  • SIT 隧道
  • ip6tnl 隧道
  • GRE and GRETAP
  • IP6GRE and IP6GRETAP
  • FOU
  • GUE
  • GENEVE
  • ERSPAN and IP6ERSPAN

IPIP 隧道

正如其名,IP over IP 的隧道,RFC 2003

通常用于通过 IPv4 公网连接两个内部的 IPv4 子网。开销最小但是只能传输 IPv4 单播流量,也就是说 无法 通过 IPIP 隧道多播。

IPIP 隧道同时支持 IP over IP 和 MPLS over IP。

注意:当 ipip 模块被加载时,或者 IPIP 设备首次被创建,Linux 内核将在每个命名空间中创建一个属性 local=anyremote=any 的默认设备 tunl0。当接收到 IPIP 协议的数据包时,如果不能找到匹配的设备,内核默认将它们发送至 tunl0

创建 IPIP 隧道:

On Server A:
# ip link add name ipip0 type ipip local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR
# ip link set ipip0 up
# ip addr add INTERNAL_IPV4_ADDR/24 dev ipip0
Add a remote internal subnet route if the endpoints don't belong to the same subnet
# ip route add REMOTE_INTERNAL_SUBNET/24 dev ipip0 

On Server B:
# ip link add name ipip0 type ipip local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR
# ip link set ipip0 up
# ip addr add INTERNAL_IPV4_ADDR/24 dev ipip0
# ip route add REMOTE_INTERNAL_SUBNET/24 dev ipip0

注意:根据实际环境替换 LOCAL_IPv4_ADDR、REMOTE_IPv4_ADDR、INTERNAL_IPV4_ADDR、REMOTE_INTERNAL_SUBNET。

SIT 隧道

SIT 即简单网络传输(Simple Internet Transition)。主要为了互连全球 IPv4 互联网中的隔离 IPv6 网络。

最初,它只有 IPv6 over IPv4 隧道模式。经过多年开发终于支持了几种不同的模式 ipip(和 IPIP 隧道一样)、ip6ipmplsipany。其中 any 模式用来同时接收 IPv4 和 IPv6 流量,在开发时很有用。SIT 隧道也支持 ISATA,这里有个用例

SIT 隧道头:

sit 模块被加载,Linux 内核将创建一个名为 sit0 的默认设备。

创建一个 SIT 隧道:

On Server A:
# ip link add name sit1 type sit local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR mode any
# ip link set sit1 up
# ip addr add INTERNAL_IPV4_ADDR/24 dev sit1

然后在远端再来一把。

ip6tnl 隧道

ip6tnl 是 IPv4/IPv6 over IPv6 的隧道,看起来有点像 SIT 隧道的 IPv6 版本。

ip6tnl 支持 ip6ip6ipip6anyipip6 模式是 IPv4 over IPv6,ip6ip6 是 IPv6 over IPv6,any 模式同时支持 IPv4/IPv6 over IPv6。

ip6tnl 模块被加载,Linux 内核会创建名为 ip6tnl0 的默认设备。

创建一个 ip6tnl 隧道:

# ip link add name ipip6 type ip6tnl local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR mode any

GRE 和 GRETAP

通用路由封装(Generic Routing Encapsulation),也称为 GRE,RFC 2784

GRE 隧道在内外的 IP 头之间添加了一个额外的 GRE 头。理论上,GRE 可以封装任何三层协议,而 IPIP 只能封装 IP 包。

注意,可以通过 GRE 隧道传输多播流量和 IPv6。

gre 模块被加载,Linux 内核将创建名为 gre0 的默认设备。

创建 GRE 隧道:

# ip link add name gre1 type gre local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR [seq] key KEY

当 GRE 隧道在 OSI 模型三层工作,GRETAP 在 OSI 模型二层工作,意味着在内部头中有个 Ethernet 头。

创建 GRETAP 隧道:

# ip link add name gretap1 type gretap local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR

IP6GRE 和 IP6GRETAP

IP6GRE 等价于 IPv6 版 GRE,这让我们可以通过 IPv6 封装任何第三层的协议。

IP6GRETAP,就像 GRETAP,在内部头中有一个 Ethernet 头:

创建 GRE 隧道:

# ip link add name gre1 type ip6gre local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR
# ip link add name gretap1 type ip6gretap local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR

FOU

隧道可以在网络栈的多个层级上。IPIP、SIT、GRE 隧道都在 IP 层,而 FOU(foo over UDP)是传输层的隧道。

使用 UDP 隧道的优势在于 UDP 可以与现有的硬件基础设置一起工作,像 NIC 中的 RSS,交换机中的 ECMP。开发者的补丁集显示 SIT 和 IPIP 协议的性能显著提高。

目前,FOU 隧道支持基于协议 IPIP,SIT 和 GRE 封装。

创建 FOU 隧道:

# ip fou add port 5555 ipproto 4
# ip link add name tun1 type ipip remote 192.168.1.1 local 192.168.1.2 ttl 225 encap fou encap-sport auto encap-dport 5555

第一行命令设置 FOU 从 5555 端口接收 IPIP 数据包;GRE 的话就要设置 ipproto 47。第二行命令创建了一个新的用于 FOU 封装的 IPIP 虚拟网卡(tun1),目标端口是 5555。

注意:Red Hat Enterprise Linux 不支持 FOU。

GUE

Generic UDP Encapsulation (GUE) 是另一种 UDP 隧道。GUE 和 FOU 不同之处在于有着自己的封装头,包含了协议信息和一些其他数据。

目前,GUE 隧道支持内部封装 IPIP、SIT、GRE。

创建 GUE 隧道:

# ip fou add port 5555 gue
# ip link add name tun1 type ipip remote 192.168.1.1 local 192.168.1.2 ttl 225 encap gue encap-sport auto encap-dport 5555

创建一个 CUE 从 5555 端口接收 IPIP 数据包,并为 GUE 封装配置一个 IPIP 隧道。

注意:Red Hat Enterprise Linux 不支持 GUE。

GENEVE

Generic Network Virtualization Encapsulation (GENEVE) 支持 VXLAN、NVGRE 和 STT,旨在克服它们的局限性。很多人认为 GENEVE 最终能够完全代替这些早期的格式。

看起来与 VXLAN 非常相似。主要的区别在于 GENEVE 头是弹性的。通过扩展新的 Type-Length-Value (TLV) 字段,可以轻松添加新功能。

Open Virtual Network (OVN) 使用 GENEVE 作为默认的封装。

创建 GENEVE 隧道:

# ip link add name geneve0 type geneve id VNI remote REMOTE_IPv4_ADDR

ERSPAN 与 IP6ERSPAN

Encapsulated Remote Switched Port Analyzer (ERSPAN) 使用 GRE 将基础端口镜像功能从二层扩展到三层,允许通过可路由的 IP 网络发送镜像流量。

ERSPAN 隧道允许 Linux 主机充当 ERSPAN 流量源,并将 ERSPAN 镜像流量发送到远程主机或 ERSPAN 目标,后者接收并解析从 Cisco 或其他有 ERSPAN 功能的交换机生成的 ERSPAN 数据包。此设置可以用于分析,诊断和探测恶意流量。

Linux 当前支持两个 ERSPAN 版本的绝大多数功能。

创建 ERSPAN 隧道:

# ip link add dev erspan1 type erspan local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR seq key KEY erspan_ver 1 erspan IDX
or
# ip link add dev erspan1 type erspan local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR seq key KEY erspan_ver 2 erspan_dir DIRECTION erspan_hwid HWID
Add tc filter to monitor traffic
# tc qdisc add dev MONITOR_DEV handle ffff: ingress
# tc filter add dev MONITOR_DEV parent ffff: matchall skip_hw action mirred egress mirror dev erspan1

总结

Tunnel/Link TypeOuter HeaderEncapsulate HeaderInner Header
ipipIPv4NoneIPv4
sitIPv4NoneIPv4/IPv6
ip6tnlIPv6NoneIPv4/IPv6
vtiIPv4IPsecIPv4
vti6IPv6IPsecIPv6
greIPv4GREIPv4/IPv6
gretapIPv4GREEther + IPv4/IPv6
ip6greIPv6GREIPv4/IPv6
ip6gretapIPv6GREEther + IPv4/IPv6
fouIPv4/IPv6UDPIPv4/IPv6/GRE
gueIPv4/IPv6UDP + GUEIPv4/IPv6/GRE
geneveIPv4/IPv6UDP + GeneveEther + IPv4/IPv6
erspanIPv4GRE + ERSPANIPv4/IPv6
ip6erspanIPv6GRE + ERSPANIPv4/IPv6
参考
https://blog.crazytaxii.com/posts/an_introduction_2_tunnel/
独孤九剑_Linux
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux 隧道接口 介绍
学习记录
10-20 1185
简介 IP隧道是两个网络之间的互联网协议(IP)网络通信通道。它被用来通过包的封装来传输另一个网络协议。 Linux支持许多类型的通道,简要介绍Linux内核中常用的隧道接口。没有代码分析,只是简单介绍接口及其在Linux上的使用。任何有网络背景的人都可能对这篇博客文章感兴趣。tunnel接口列表可以通过下发iproute2命令ip link help获取。具体的隧道配置帮助也可以通过ip link Help 命令获取。 隧道的简单形式如下 类型 oute...
内网安全:隧道技术详解
最新发布
2201_75362610的博客
01-24 889
SMB(Server Message Block)协议是一种在计算机网络中共享文件、打印机和其他资源的通信协议。它最初由微软开发,用于在局域网中的计算机之间共享文件和资源,445端口运行打印机共享:SMB协议支持打印机的共享,允许用户在网络中使用共享打印机进行打印操作。通过SMB协议,用户可以连接到其他计算机上的共享打印机,并发送打印任务进行打印。文件共享:SMB协议允许计算机之间共享文件和目录。通过SMB协议,用户可以在网络中访问其他计算机上的共享文件夹,并进行文件的读取、写入和管理操作。
Linux - 虚拟网络设备- TUN,TAP,ip tunnel
vertor11的博客
09-12 4579
引用 Tun/Tap interface tutorial 什么是IP隧道Linux怎么实现隧道通信? Linux内核网络设备--TUN. TAP设备 一. concep TUN设备:一种虚拟网络设备,点对点的设备。三层设备,即处理的是IP数据包。不需要物理地址,即不需要ARP。用于创建路由。因为通过读写/dev/tun设备可以直接从协议栈的三层读写ip包,所以tun设备常用于vpn、tunnel、ipsec之类的。 TAP设备:一种虚拟网络设备,ethernet以太网设备。二层设备,即处...
Linux配置ipv6
热门推荐
qq_37432174的博客
02-06 1万+
6、找到resolv.conf 配置,添加谷歌的ipv6 dns服务器设置,路径在:/etc/resolv.conf。现在,我们是一个双栈服务,既有ipv4,又有ipv6,但是ipv4请求ipv6时,需要翻译成ipv6才能请求通;如果输出结果没包含 “inet6”,则没有 ipv6支持,如果支持ipv6,则输出结果会包含 “inet6”。下图配置,如果已经存在,则直接修改,如果不存在,则新增;注册完后,官方会发送一封电邮到大家提供的邮箱里面,点击链接即可完成验证。如图出现很多ipv6 = 0,则是开启。
128-OVS 中的各种网络设备1
08-08
从命名上看,我们大致能猜出他们的用途:br-ex 连接外部(external)网络的网桥,br-int 集成(integration)网桥,所有 instance 的虚拟网卡和其他虚拟网络设备都将连接到该网桥,br-tun 隧道(tunnel)网桥,基于...
基于Linux虚拟网络设备实现技术.pdf
09-07
Linux操作系统以其开源、可定制性及强大的网络支持而闻名,其中虚拟网络设备的实现是其网络功能的重要组成部分。虚拟网络设备允许开发者在操作系统内部创建逻辑上的网络接口,这些接口可以模拟真实的物理网络设备,...
利用Linux构造IPv6网络环境.pdf
09-07
这种方法要求整个网络支持这两种协议,使得IPv6网络中的设备能够与IPv4网络中的设备进行通信。 2. 隧道技术:通过将IPv6的数据包封装在IPv4的数据包中,通过IPv4的路由体系进行传输。在目的地,再解封装恢复出IPv6...
使用Linux平台组建IPv6网络.pdf
09-07
构建IPv6网络的具体步骤可能包括配置Linux系统的IPv6支持,设置隧道接口以连接IPv6网络,以及确保服务器和客户端应用支持双协议栈。这对于系统管理员和网络开发人员来说是至关重要的知识,因为它允许他们适应未来...
基于Linux的IPv6网络平台.pdf
09-06
【基于Linux的IPv6网络平台】是一个关于在Linux操作系统中构建和实现IPv6网络服务的专题,主要讨论了IPv4的局限性和IPv6的优势,并详细介绍了如何在Linux环境下配置IPv6支持的服务,如Telnet、FTP、Web和DNS。...
linux ip隧道技术,Linux 隧道技术
weixin_35455673的博客
05-04 367
moprobeip_greiptunneladdtun1modegre......来实现,而后面的参数基本上不需要改变。上面是一个简单的没有任何加密的隧道建立过程,这样通讯可能会带来安全隐患,毕竟我们访问的是内网吗。下面来给这个隧道加密。ipsec是一个复杂的东西,这里只简单的介绍,如果有问题请查阅在线的[url=http://control.cublog.cn/%5C%22ht...
linux下反向ssh实例
zhongcaogen的专栏
12-17 492
反向SSH隧道依赖于使用已建立连接的远程计算机来侦听来自本地计算机的新连接请求。远程计算机在本地计算机上的网络端口上侦听。 如果它检测到对该端口的SSH请求,则会通过已建立的连接将该连接请求中继回自身。 有了这个功能,我们可以到达内网的ssh接口,而不需要使用VPN隧道
Linux隧道sit
redwingz的博客
05-30 976
Linux隧道sit(Simple Internet Transition),配置环境如下: |----------| |----------| | | ens33 ens33 | | | Client |--------------------------------| Server | | | 1
Linux中配置GRE隧道
beeworkshop的博客
09-27 9275
具体配置 218.188.152.11: 开启路由转发,加载gre协议模块 echo 1 > /proc/sys/net/ipv4/ip_forward modprobe ip_gre 创建隧道tunnel2,添加一虚拟网段172.16.33.0/24 ip tunnel add tunnel2 mode gre local 218.188.152.11 remote 144.22.1.17...
《Kubernetes网络权威指南》读书笔记 | 初识Linux隧道:ipip
COCO_gsta的博客
10-15 349
书籍来源:《Kubernetes网络权威指南:基础、原理与实践》
Linux-ssh隧道详解
weixin_33946605的博客
04-16 8809
隧道原理 隧道是一种把一种网络协议封装进另外一种网络协议进行传输的技术。这里我们研究ssh隧道,所以所有的网络通讯都是加密的。又被称作端口转发,因为ssh隧道通常会绑定一个本地端口,所有发向这个端口端口的数据包,都会被加密并透明地传输到远端系统。 隧道的类型 ssh隧道有3种类型: 动态端口转发(Socks 代理) 本地端口转发 远端端口转发 ssh端口转发常用选项 -N #告诉SSH客户端,...
Linux 隧道技术
weixin_33866037的博客
05-03 182
这几天看linuxtunnel技术,感觉linux很好很强大。记录如下:(所有测试系统CentOS5.2)linux支持的tunnel有ipipgresit其他非内核隧道这几种。ipip需要内核模块ipip.ko下面的描述说出了ipip的特点。简单之极!但是你不能通过IP-in-IP隧道转发广播或者IPv6数据包。你只是连接了两个一般情况下...
Linux ipip隧道及实现
newbei5862的博客
03-22 1839
Linux ipip隧道及实现 一、IP隧道技术 IP隧道技术:是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。IP 隧道(IP tunneling)是将一个IP报文封装在另一个IP报文的技术,这可以使得目标为一个IP地址的数据报文能被封装和转发到另一个IP地址。IP隧道技术亦称为IP封装技术(IP encapsulation)。IP隧道主要用于移动主机和虚拟...
什么是 IP 隧道Linux 怎么实现隧道通信?
weixin_34216036的博客
03-21 1032
什么是 IP 隧道Linux 怎么实现隧道通信?通过之前的文章,我们知道 tun 是一个网络层的设备,也被叫做点对点设备,之所以叫这个名字,是因为 tun 常常被用来做隧道通信(tunnel)。 IP 隧道Linux 原生支持多种三层隧道,其底层实现原理都是基于 tun 设备。我们可以通过命令 ip tunnel help 查看 IP 隧道的相关操作。...
linux 内核网络协议栈
08-16
Linux内核的网络协议栈是指在操作系统内核中实现的一系列网络协议和功能。它负责处理网络数据包的收发、路由选择、协议解析等一系列操作,以实现网络通信和数据传输。 Linux内核的网络协议栈包括以下几个层次: 1. 网络接口层(Network Interface Layer):负责处理物理网络接口的驱动程序和硬件设备的通信。它提供了对底层网络设备的抽象,如以太网、Wi-Fi、蓝牙等。 2. 网络层(Network Layer):负责处理IP协议相关的操作,包括IP地址分配、路由选择和IP数据包的转发等。其中主要的协议有IPv4和IPv6。 3. 传输层(Transport Layer):负责处理端到端的数据传输,主要通过TCP(传输控制协议)和UDP(用户数据报协议)来实现。TCP提供可靠的、面向连接的数据传输,而UDP提供无连接的、不可靠的数据传输。 4. 应用层(Application Layer):负责处理特定应用程序的数据传输和协议,如HTTP、FTP、DNS等。应用层协议依赖于传输层和网络层的支持,通过这些协议实现应用程序之间的通信。 此外,Linux内核还提供了一些额外的功能,如网络地址转换(NAT)、防火墙(iptables)、网络隧道(Tunneling)等,以满足网络通信和安全的需求。 总之,Linux内核的网络协议栈是一个复杂而庞大的系统,通过不同层次的协议和功能实现了网络通信的各个方面。它为应用程序提供了丰富的网络功能,使得Linux成为一个强大的网络操作系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值