Linux中路由功能及ip_forward转发配置

news2024/11/15 23:22:20

操作系统中路由功能有着至关重要的作用,它决定了网络数据包如何在网络中传输,最终到达目的地。本文简要介绍Linux中的路由功能实现以及IP转发的配置,并验证在容器环境下配置net.ipv4.ip_forward的必要性,以加深理解。


1、Linux中路由功能

操作系统中路由功能有着至关重要的作用,它决定了网络数据包如何在网络中传输,最终到达目的地。当数据包从一个网络接口发送到另一个网络接口时,通过查找路由表决定数据应该走的路径;通过路由也可以实现网络的逻辑隔离和分区,不同子网或VLAN通过路由器进行通信;另外可以实现网络地址转换NAT,将私有网络地址转换为公共网络。

1.1 Linux中路由功能实现

Linux中的路由功能主要是通过路由表管理、IP地址转发和路由策略等实现的。

1)路由表管理

路由表是路由选择算法的基础,用于指导数据包在网络中的传输。Linux系统中有多个路由表,默认有main、local、default:

  • main是系统默认的路由表,也是用户自定义的路由表;
  • local路由表用于处理本地回环和广播数据包,只由kernel维护,不能更改和删除
  • default路由表用于处理默认网关和其它情况,在其它路由表都没有匹配到的情况下,根据该表中的条目进行处理。

2)IP地址转发

IP地址转发功能允许Linux系统在不同的网络之间转发数据包,通过修改系统参数net.ipv4.ip_forward为1生效。开启IP地址转发后,当数据包到达Linux主机时,内核会根据路由表中的路由记录找到下一跳的网关地址,然后将数据包发送到该网关。如果目标IP地址在本地区域网络中,内核会直接将数据包传递给对应的网卡进行发送。

3)路由策略

路由策略是指通过不同的路由算法和策略选择最佳的路由记录,Linux系统中支持多种路由策略,如路由缓存、源路由、多路径路由、多网关路由等。使用ip rule list查看路由规则:

# ip rule list
0:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default

Linux上通过路由规则和路由表来配合实现路由流程,首先按照路由规则优先级根据规则的匹配条件找到需要匹配的路由表,然后根据路由表中条目进行匹配规则的转发,如果路由表中没有匹配到满足的路由条目,则处理下一条路由规则。路由规则由三部分组成:

  • Priority:Linux中可以添加多条路由规则,根据优先级数字从小到大依次匹配
  • Selector:对IP数据包进行匹配的条件,如“from all”表示所有IP数据包
  • Action:对IP数据包执行的动作,如“lookup local”表示需要查找路由表local进行处理

比如local路由表的内容:

# ip route list table local 
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 
broadcast 192.168.112.0 dev ens33 proto kernel scope link src 192.168.112.121 
local 192.168.112.121 dev ens33 proto kernel scope host src 192.168.112.121 
broadcast 192.168.112.255 dev ens33 proto kernel scope link src 192.168.112.121

从表中可以看出target ip为192.168.112.121的数据包由接口ens33来处理;发送到192.168.112.255这个广播地址的数据包,应该通过ens33接口发送。

如果target ip不是本机IP,则在local中匹配不到相应的条目,则需要根据下一条规则32766来查找路由表main。如果所有目的IP都不能匹配,则使用default条目。

# ip route show
default via 192.168.112.2 dev ens33 proto static metric 100 
192.168.112.0/24 dev ens33 proto kernel scope link src 192.168.112.121 metric 100

也可以通过命令ip rule add/delete自己增加或删除路由规则。

1.2 Linux路由基本流程

Linux中路由的基本流程为:收到数据包后,解析出目的IP,判断是否本机IP地址。如果是本机IP则交由上层传输层处理;如果不是本机IP,则通过路由表查找到合适的网络接口将IP数据包转发出去。如图所示:

在这里插入图片描述

1)数据包接收

当数据包到达网络接口时,网络接口卡(NIC)会将数据包传递给内核的网络协议栈。数据包首先进入IP层,在IP层进行初步的校验和解析。

2)路由选择

在IP层,数据包会进行路由选择。这一过程涉及查找路由表以决定数据包的下一跳地址。Linux内核维护了路由表,这些路由表包含了网络可达性的信息,如目的网络、网关和出口接口等。路由选择通过匹配路由表中的条目来实现,如果找到匹配的条目,则数据包会根据该条目的信息被转发到下一跳地址。如果发现确实就是本设备的网络包,那么就通过ip_local_deliver送到更上层的TCP层进行处理。如果路由后发现非本设备的网络包,那就进入到ip_forward进行转发,最后通过ip_output发送出去。

3)数据包发送

一旦确定了数据包的下一跳地址和出口接口,内核就会将数据包发送到该接口。在发送之前,数据包可能会被进一步封装成适合网络接口传输的格式(如以太网帧)。数据包通过物理链路被发送到下一跳地址,这个过程可能涉及多个网络设备和链路。

2、ip_forward参数功能与配置

IP转发是指在一个路由器或者网络设备上接收到一个IP数据包后,根据目标IP地址的路由信息将数据包发送到合适的接口,使其能够到达目标主机。在Linux系统中,出于安全考虑默认情况下是关闭IP转发功能的,也就是只会处理发送到它自身IP地址的数据包,并且不会将数据包转发到其他主机或网络。不过可以通过内核参数net.ipv4.ip_forward来控制IP转发功能,当这个参数设置为1时,表示启用IP转发;当设置为0时,表示禁用IP转发。

1)使用sysctl临时生效

sysctl命令的-w参数可以实时修改Linux的内核参数,在系统重启后会失效。

sysctl -w net.ipv4.ip_forward=1

2)修改/etc/sysctl.conf配置文件

#vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
#sysctl -p动态生效配置
3、容器环境下为什么要配置ip_forward

在Docker等容器化技术中,容器通常通过宿主机的网络接口与外界通信。Docker会在宿主机上创建一个虚拟网桥(如docker0),容器通过该网桥连接到宿主机的网络。当外部网络尝试访问容器时,数据包首先到达宿主机,然后宿主机根据路由规则将数据包转发到相应的容器。

  • 当容器需要访问外部网络或外部网络需要访问容器时,数据包需要在宿主机和容器之间转发。如果宿主机没有启用ip_forward,那么这些数据包将无法被正确转发,导致容器无法与外部网络通信。
  • 在一个宿主机上运行多个容器时,这些容器之间可能需要进行通信。如果宿主机没有启用ip_forward,那么容器之间的数据包也无法被正确转发,导致通信失败。

1)Docker网络模式与IP转发

  • 桥接网络(Bridge):当使用桥接网络时,Docker会在宿主机上创建一个虚拟网桥,容器的网络接口会连接到这个网桥。如果容器需要与其他网络通信,那么net.ipv4.ip_forward必须被开启。
  • 主机网络模式(Host):在这个模式下,容器直接使用宿主机的网络命名空间和网络接口,因此不需要IP转发,因为数据包已经是直接在宿主机和容器的网络命名空间之间传输的。
  • overlay网络:这种网络模式允许跨多个宿主机分布Docker容器,它依赖于 overlay 虚拟设备,这个设备需要net.ipv4.ip_forward被开启来支持跨多个节点的数据包转发。

2)IP转发测试

在这里插入图片描述

1)启动容器配置IP地址

#启动容器定义IP信息
docker network create --subnet 172.10.0.0/16 net10
docker network create --subnet=172.11.0.0/16 net11
docker run -it --name centos0 --net net0 --ip 172.10.0.2 centos bash
docker run -it --name centos1 --net net1 --ip 172.11.0.2 centos bash
iptables –F
#查看网络配置
[root@tango-01 ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
5923e4bdc84b        net10                bridge              local
9bdd307308fb        net11                bridge              local
[root@tango-01 local]# brctl show
bridge name     bridge id               STP enabled     interfaces
br-5923e4bdc84b         8000.02424f8c38a1       no              veth74a860e
br-9bdd307308fb         8000.024254a5914c       no              veth31de22d
[root@tango-01 ~]# docker network inspect net10
[
    {
        "Name": "net10",
        "Id": "5923e4bdc84b8e5a07787dfdc760d62497078a23aa1e0e1823b97be61045c1da",
        "Created": "2024-08-25T16:50:00.210331502+08:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "172.10.0.0/16"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "48e50195f820b4622b8f529704ecd81eef55e170d2981591b509d669db5f3198": {
                "Name": "centos0",
                "EndpointID": "e2b0d203d5e68a181300b8d75318f75b94077805beabc330c7b20c5d4794be1e",
                "MacAddress": "02:42:ac:00:00:02",
                "IPv4Address": "172.10.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {},
        "Labels": {}
    }
]
[root@tango-01 ~]# docker network inspect net11
[
    {
        "Name": "net11",
        "Id": "9bdd307308fbab972a6d984c31f3fb834bbc744b9fac1aea45766c3e7fa30334",
        "Created": "2024-08-25T16:50:14.633125228+08:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "172.11.0.0/16"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "0d561eaffc82d1155a14ff445c335a6bd8a250ec4dc028b4894f08939dc3a237": {
                "Name": "centos1",
                "EndpointID": "9b9334ca053fac4badd30e0daa00bca9335e52565b9801cdb4f260e8d5ec3dc2",
                "MacAddress": "02:42:ac:01:00:02",
                "IPv4Address": "172.11.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {},
        "Labels": {}
    }
]

2)进入容器,查看网络连通性

docker exec -it centos0 bash  # 现在进入 centos0。它的IP是172.10.0.2
ping 172.11.0.2
[root@48e50195f820 /]# ping 172.11.0.2 
PING 172.11.0.2 (172.11.0.2) 56(84) bytes of data.
64 bytes from 172.11.0.2: icmp_seq=1 ttl=63 time=0.066 ms

3)当关闭net.ipv4.ip_forward配置后,发现已经ping不通了

[root@48e50195f820 /]# ping 172.11.0.2
PING 172.11.0.2 (172.11.0.2) 56(84) bytes of data.

抓包看到的结果是无响应

在这里插入图片描述

因此可以看到当关闭IP转发后,容器之间已经不能互访,出现连通性异常。由此看到IP转发net.ipv4.ip_forward配置的重要性,一旦配置有误则容器网络访问出现异常。


参考资料:

  1. https://blog.csdn.net/qq_43684922/article/details/128881968
  2. https://blog.csdn.net/weixin_43702146/article/details/131379569
  3. https://www.51cto.com/article/698945.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2090079.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

8.6 数据库基础技术-数据库的控制

并发控制 封锁协议 一级封锁协议 二级封锁协议 三级封锁协议 数据库故障和备份 真题 1

案例练习理解ThreadLocal以及应用场景

目录 案例练习 应用场景 ThreadLocal:用来解决多线程程序下并发问题,通过为每一个线程创建一份共享变量的副本保证线程之间的变量的访问和修改互不影响。 案例练习 1.三个销售卖小米SU7,求他们的总销售。使用CountDownLatch维护三个线程 …

跑腿代购系统开发:重塑便捷生活的新篇章

在快节奏的现代生活中,时间成为了最宝贵的资源之一。随着移动互联网技术的飞速发展,人们对于高效、便捷的生活服务需求日益增长,跑腿代购服务应运而生,并迅速成为连接消费者与日常所需商品及服务的重要桥梁。为了满足这一市场需求…

C++:继承用法详解~

在学完C的类和对象,并掌握了类的核心语法与基本用法之后;我们就得去学习一下继承的语法,与继承的用法。简单概括一下,继承是C中一种代码复用的手段,它允许我们,对已有的类,增添新的成员函数或变…

28 TreeView组件

Tkinter ttk.Treeview 组件使用指南 ttk.Treeview 是 Tkinter 的一个高级控件,用于显示和管理层次化数据。它类似于电子表格或列表视图,但提供了更丰富的功能,如可展开的节点、多列显示等。ttk 模块是 Tkinter 的一个扩展,提供了…

NVM安装及配置

一:下载nvm安装包 https://github.com/coreybutler/nvm-windows/releases 二:安装步骤 三:检查环境变量 (1)、检查用户变量和系统变量中是否有NVM_HOME和NVM_SYMLINK。一般情况下,安装nvm后,系…

Java分布式架构知识体系及知识体系图

Java分布式架构整体知识体系是一个庞大而复杂的领域,它涵盖了多个方面,旨在帮助开发者构建高性能、高可用、可扩展的分布式系统。以下是对Java分布式架构整体知识体系的概述: 一、分布式理论基础 CAP理论: 一致性(Con…

GUI编程04:课堂练习及总结

本节内容视频链接:6、课堂练习讲解及总结_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1DJ411B75F?p6&vd_sourceb5775c3a4ea16a5306db9c7c1c1486b5 根据前三节学习到的Frame、Panel、Button知识,画出一下窗口界面: 实现代码如下…

避坑之:深信服AC跨三层取MAC(核心交换机是锐捷S7808C_RGOS 11.0(4)B2P1)

今天碰到一个奇怪的现象,深信服AC对接锐捷交换机做跨三层取MAC,怎么都获取不到。 一、坑1:交换机不回应snmp报文 1.1 排查锐捷交换机配置 配置上看着没有问题,重新配置了community 1.2 查看snmp报文是否通畅 我的笔记本是win10…

选对文档版本管理软件:10款工具详解

本篇文章中提到的工具包括:1.PingCode;2.Worktile;3.联想Filez;4.蓝凌云;5.阿里云盘;6.360亿方云;7.无忧企业文档;8.DocStar ECM;9.Dropbox Business;10.Shar…

APP 数据抓取 - Charles 抓包工具的使用(Charles 端口配置、CA 证书配置、Charles Android 模拟器配置)

前言说明 此文章是我在学习 Charles APP 抓包时编写,内容都是亲测有效,文章内容也有参考其他人,参考文章如下: Android 手机使用 charles 抓 https 请求(保姆级教程)网易 mumu 模拟器安装下载 charles 的…

JAVAEE初阶第二节——多线程基础(上)

系列文章目录 JAVAEE初阶第二节——多线程基础(上) 计算机的工作原理 认识线程(Thread)Thread 类及常见方法线程的状态 文章目录 系列文章目录JAVAEE初阶第二节——多线程基础(上) 计算机的工作原理 一.认识线程(Thread)1.概念 …

Leetcode面试经典150题-28.找出字符串第一个匹配项的下标

解法都在代码里,不懂就留言或者私信,比第一题稍微难点 用KMP解这个题简直就像大炮打蚂蚁,但是没办法,现在都是这么卷 package dataStructure.bigFactory;public class _28Strstr {public static int strStr(String s1, String s…

EasyCode实现完整CRUD + 分页封装

文章目录 1.创建一个表sys-user2.EasyCode 模板配置1.entity.java.vm2.dao.java.vm3.mapper.xml.vm4.service.java.vm5.serviceImpl.java.vm6.controller.java.vm7.PageInfo.java.vm8.PageResult.java.vm9.SunPageHelper.java.vm 3.EasyCode生成CRUD1.右键表,选择Ge…

Linux系统查看磁盘、内存使用情况、查看当前文件夹内文件详情:free、top、df、du、ls

Liunx系统查看内存使用情况 free:查看当前内存以及交换区内存使用情况,默认显示单位是比特,加上参数-h以易读的方式显示(如KB、MB、G),在Linux系统中所有查询加上-h参数均以易读的方式显示。 资源管理器查看…

【C++ Primer Plus习题】7.5

问题: 解答: #include <iostream> using namespace std;int function(int n) {if (n 0)return 1;if (n 1)return 1;return n* function(n - 1); }int main() {int value 0;while (true){cout << "请输入数字:";cin >> value;cout << val…

【读书笔记-《30天自制操作系统》-11】Day12

从本篇内容开始讲解定时器。本篇内容比较简单&#xff0c;首先介绍定时器的概念与设置方法&#xff0c;然后介绍超时的中断处理&#xff0c;并对中断处理函数进行了优化。 1. 定时器 定时器是操作系统中十分重要的功能。它的原理很简单&#xff0c;只是每隔一段时间发送一个…

接口自动化测试框架:SoapUI

SoapUI是一个非常流行的用于Web服务测试的工具。它允许你对SOAP和RESTful Web服务进行测试。在本篇文章中&#xff0c;我们将介绍SoapUI的背景、好处以及企业实际使用该工具的干货。 一、背景 在过去的几年中&#xff0c;Web服务变得越来越流行。由于不同的应用程序可以通过W…

新材料正在加速推动压铸领域3D打印技术应用

3D打印技术&#xff0c;以其独特的逐层累加粉末材料成型方式&#xff0c;正逐步解锁模具制造的无限可能&#xff0c;尤其在实现复杂几何构型与内部结构优化方面展现出非凡潜力。这一技术革新不仅提升了模具制造的精度与效率&#xff0c;还通过随形水路、随形透气钢等创新设计&a…

利润暴涨507%的携程,做对了什么?

关于旅行&#xff0c;1500年前&#xff0c;古罗马思想家圣奥古斯丁曾在《忏悔录》这样评价&#xff1a; “世界是一本书&#xff0c;而不旅行的人只读了其中的一页。” 如今&#xff0c;旅行更是承载了人们逃离工作、抛开忧虑的祈望&#xff0c;成为了理想中的“诗和远方”。…