linux下ip层的一些概念

首先来看这个ip层的结构：




这里看到非常多的netfilter hook，这是因为netfilter主要是针对ip层的。

ip层的主要任务有下面5个方面：

1 ip数据包的校验

2 防火墙的处理(也就是netfilter子系统)

3 处理options(这里的options包含了一些可选的信息。比如时间戳或者源路由option).

4 切包和组包(由于mtu的存在，因此我们需要切包和组包).

5 接收，输出和转发操作。


接下来我们来看ip头的结构：

struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)
	__u8	ihl:4,
		version:4;
#elif defined (__BIG_ENDIAN_BITFIELD)
	__u8	version:4,
  		ihl:4;
#else
#error	"Please fix <asm/byteorder.h>"
#endif
	__u8	tos;
	__be16	tot_len;
	__be16	id;
///这里要注意DF,MF和Fragment offset表示为frag_off一个域.
	__be16	frag_off;
	__u8	ttl;
	__u8	protocol;
	__sum16	check;
	__be32	saddr;
	__be32	daddr;
	/*The options start here. */
};

这里每个字段的意思也就没什么好解释得了，基本上对网络协议有些了解的都会知道。我下面会介绍几个主要的域。这里可以看到在

首先来看options域。

前面已经说过了，这个域也就是包含一些其他程序(比如路由)需要的信息。这个域的大小为0到40位，一般不会超过40个位，再大的options基本上很罕见。

options被分为2种，一种是单字节的，一种是多字节的。下面我们就来看这两种的结构：



先来看type字段，它的结构：





clas也就是这个options的类型了，copied如果被设置，则当数据包切片的时候，这个option必须被复制到每一个切好的包。而number则是类型所对应的值:下面这个图就是ip option的一些类型值：




主要的类型定义在linux/ip.h里面。

接下来length表示这个option的长度。poionter这个指针表示options的起始位移。option data存储一些需要的数据。

随便举个ip options的例子，比如record route option，这个option用来保存输出接口的ip地址，但它有大小限制，只能保存9个地址们如果超过九个就会忽略，接下来看下面的图,a主机发送包到b主机：




最后我们来看一下数据报的切片和组包。

首先来看相关的ip头里面的域：


DF，表示不切片，因为有时切片并组包耗时太长，影响性能。可是如何解决mtu等问题呢，这里linux采用了Path MTU Discovery算法，来取得所能传输的最大mtu，而不是根据输入帧的头来判断。

MF表示需要更多的切好的片。当一个包被切片之后，它设置mg为true，知道最后一个分片，而这个分片的MF会被设置为false(也就是0).当接收端接收到这最后一个切片时，就会开始组包，哪怕其他的切片还没到达。

Fragment offset表示这个分片的数据包在原来数据包中的位移，只有凭借这个才能正确组包。

ID，ip包的id，一个ip包的所有帧切片的id都是相同的。通过这个域，接受者能知道那些切片是属于同一个包的。




我们再来看切片和组包有可能会出现的问题。

先来看丢包的问题，首先我们要知道只有当ip包全部接收到(也就是被切片的包)之后，才会组包并将此数据包发送给高层。

丢包有3种情况：

1 有可能被路由器丢掉。

2 有可能由于crc校验不通过而被丢掉。

3 有可能被防火墙过滤掉。

解决方法就是，如果一些切片没有在给定的时间内到达的话，每一个路由器和主机都有一个定时器来清理发送过的ip包的切片。

这里要注意，ip层是没有重传机制的(ip协议是无连接的)，因此必须等待高层来告诉它重传整个数据包。

重传的数据包不能重新使用未传输成功的数据报的id，也就是id不能相同。

由于kernel不能交换数据到硬盘，因此handling切片在内存中，会影响路由器的性能，因此linux对于切片的内存有了一个限制。

由于ip是一个无连接的协议，因此没有流量控制什么的，所以这些都交给上层去做。

标识每一个切片是属于哪一个数据包，在linux中使用4个域来确定：

源地址，目的地址，ip包id，l4协议类型。

可是这有一个问题，那就是有可能不同的包，这四个参数都是相同的，比如经过nat转发后的数据包。比如下面的例子,当pc1,pc2发出去的包被路由r修改掉源地址，并切片后，然后同时抵达S，这时就会出问题：




而ipv6就会更好的处理这个问题，他将只允许在原始的host进行切片。

最后看一下packet ID,在linux中，是每个目的地址一个ip packet id，每个id是一个16位的整数。这样的话就降低了数据包的id有可能老的还没到，新的就要重新使用老的的id。

评论

2 楼 simohayha 2009-06-23  

dennis_zane 写道

图片不能显示。。

rp问题。。我这边都可以正常显示。。

1 楼 dennis_zane 2009-06-23  

图片不能显示。。