linux网络协议结构

❶ linux里面tcp和tcp6区别是什么

指代不同
TCP：是一种面向连接的、可靠的、基于字节流的传输层通信协议。
TCP6：是互联网工程任务组设计的用于替代ipv4的下一代ip协议。
功能不同
TCP：适应支持多网络应用的分层协议层次结构，连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。
TCP6：ipv6具有更大的地址空间，ipv4中规定ip长度为32，最大地址个数为2^32，IPv6中ip地址的长度为128，即最大地址个数为2^128。与32位地址空间对比，其地址空间增加了2^128-2^32个。
特点不同
TCP：TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。
TCP6：不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。

❷ linux操作系统有哪五个基本的组成部分

Linux系统一般有4个主要部分：内核、shell、文件系统和应用程序。Linux内核主要由五个子系统组成：进程调度，内存管理，虚拟文件系统，网络接口，进程间通信。

操作系统的组成要素：

操作系统 = 内核 + 系统程序

系统程序 = 编译环境 + API

编译环境 = 编译程序 + 连接程序 + 装载程序

API = 系统调用 + 语言库函数(C、C++、Java等等)

AUI = shell + 系统服务例程(如x服务器等)+ 应用程序(浏览器，字处理，编辑器等)

软件系统：

软件系统 = 操作系统 + AUI

操作系统最底层的组件是内核，其上层搭建了许多系统软件。

系统程序包括三个部分，分别是：编译环境、应用程序接口和用户接口。

编译环境包含汇编、C 等低高级语言编译程序，连接程序和装载程序，这些程序负责将文本格式的程序语言转变为机器能识别和装载的机器代码。

应用程序接口(API)包含内核提供的系统调用接口和语言库，系统调用是为了能让应用程序使用内核服务，语言库函数则是为了方便应用程序开发，所以将一些常用的基础功能预先编译以供使用，比如对C语言来说常用的C库等;

用户接口(AUI)包括我们熟悉的shell、系统服务程序和常用的应用程序。

这是一个典型的结构，但不是一成不变。许多操作系统的发行中会有所删减，比如应用于嵌入式设备的系统，对X服务器就可能不做要求。但是像内核、系统调用等要素是必不可少的。

Linux系统一般有4个主要部分：内核、shell、文件系统和应用程序。内核、shell和文件系统一起形成了基本的操作系统结构，它们使得用户可以运行程序、管理文件并使用系统。

一.Linux内核

内核是操作系统的核心，具有很多最基本功能，如虚拟内存、多任务、共享库、需求加载、可执行程序和TCP/IP网络功能。Linux内核主要由五个子系统组成：进程调度，内存管理，虚拟文件系统，网络接口，进程间通信。

二.Linux shell

shell是系统的用户界面，提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执行，是一个命令解释器。另外，shell编程语言具有普通编程语言的很多特点，用这种编程语言编写的shell程序与其他应用程序具有同样的效果。

三.Linux文件系统

文件系统是文件存放在磁盘等存储设备上的组织方法。Linux系统能支持多种目前流行的文件系统，如EXT2、 EXT3、 FAT、 FAT32、VFAT和ISO9660。

四.Linux应用程序

标准的Linux系统一般都有一套都有称为应用程序的程序集，它包括文本编辑器、编程语言、X

Window、办公套件、Internet工具和数据库等。

❸ 嵌入式Linux内核和网络协议栈的特点,和代表性产品有哪些

首先，嵌入Linux内核是可定制的内核：
1 Linux内核的配置系统
2 Linux内核的模块机制
3 Linux内核的源代码开放
4 经裁减的 Linux内核最小可达到 150KB以下，尤其适合嵌入式领域中资源受限的实际情况。
其次，它的性能优越：Linux 系统内核精简、高效和稳定，能够充分发挥硬件的功能，因此它比其他操作系统的运行效率更高。
再者，它有良好的网络支持：
1 支持 TCP/IP 协议栈
2 提供对包括十兆位、百兆位及千兆位的以太网，还有无线网络、Tokenring（令牌环）和光纤甚至卫星的支持
3 对现在依赖于网络的嵌入式设备来说是很好的选择。

至于网络协议的话，有很多种，就目前主流的3种网络协议是：NetBEUI、IPX/SPX及其兼容协议、TCP/IP，而其他的像Lwip、ZigBee、Sip等很多。
1 NetBEUI的前身是NetBIOS，这一协议是IBM1983年开发完成的，早期的微软OS产品中都选择该协议作为通信协议。它是一套用于实现仅仅在小型局域网上PC见相互通信的标准。该网络最大用户数不能超过30个，1985年，微软对其改进，增加了SMB(Server Message Blocks，服务器消息块)的组成部分，以降低网络的通信阻塞，形成了现在的NetBEUI通信协议。
特点：体积小、效率高、速度快、占用内存少。
2 IPX/SPX及其兼容协议：它的全称是“Internwork Packet Exchange/Sequence Packet Exchange”即网际包交换/顺序包交换。
特点：体积较大、能够连接多种网络、具有强大的路由功能，适合大型网络的使用。windows网络中无法直接使用该协议。
3 TCP/IP是国际互联网Internet采用的协议标准，早期用于ARPANet网络，后来开放用于民间。
特点：灵活性，支持任意规模的网络，可以连接所有的计算机，具有路由功能，且TCP/IP的地址是分级的，容易确定并找到网上的用户，提高了网络代换的利用率。

而其他的像Lwip协议栈的特点：
（1）支持多网络接口的IP转发
（2）支持ICMP协议
（3）包括实验性扩展的UDP
（4）包括阻塞控制，RTT估算和快速恢复和快速转发的TCP
（5）提供专门的内部回调接口用于提高应用程序性能
（6）可选择的Berkeley接口API
（7）在最新的版本中支持ppp

不知道这些是不是你想要的。

❹ 关于 Linux 网络，你必须知道这些

我们一起学习了文件系统和磁盘 I/O 的工作原理，以及相应的性能分析和优化方法。接下来，我们将进入下一个重要模块—— Linux 的网络子系统。

由于网络处理的流程最复杂，跟我们前面讲到的进程调度、中断处理、内存管理以及 I/O 等都密不可分，所以，我把网络模块作为最后一个资源模块来讲解。

同 CPU、内存以及 I/O 一样，网络也是 Linux 系统最核心的功能。网络是一种把不同计算机或网络设备连接到一起的技术，它本质上是一种进程间通信方式，特别是跨系统的进程间通信，必须要通过网络才能进行。随着高并发、分布式、云计算、微服务等技术的普及，网络的性能也变得越来越重要。

说到网络，我想你肯定经常提起七层负载均衡、四层负载均衡，或者三层设备、二层设备等等。那么，这里说的二层、三层、四层、七层又都是什么意思呢？

实际上，这些层都来自国际标准化组织制定的开放式系统互联通信参考模型（Open System Interconnection Reference Model），简称为 OSI 网络模型。

但是 OSI 模型还是太复杂了，也没能提供一个可实现的方法。所以，在 Linux 中，我们实际上使用的是另一个更实用的四层模型，即 TCP/IP 网络模型。

TCP/IP 模型，把网络互联的框架分为应用层、传输层、网络层、网络接口层等四层，其中，

为了帮你更形象理解 TCP/IP 与 OSI 模型的关系，我画了一张图，如下所示：

当然了，虽说 Linux 实际按照 TCP/IP 模型，实现了网络协议栈，但在平时的学习交流中，我们习惯上还是用 OSI 七层模型来描述。比如，说到七层和四层负载均衡，对应的分别是 OSI 模型中的应用层和传输层（而它们对应到 TCP/IP 模型中，实际上是四层和三层）。

OSI引入了服务、接口、协议、分层的概念，TCP/IP借鉴了OSI的这些概念建立TCP/IP模型。

OSI先有模型，后有协议，先有标准，后进行实践；而TCP/IP则相反，先有协议和应用再提出了模型，且是参照的OSI模型。

OSI是一种理论下的模型，而TCP/IP已被广泛使用，成为网络互联事实上的标准。

有了 TCP/IP 模型后，在进行网络传输时，数据包就会按照协议栈，对上一层发来的数据进行逐层处理；然后封装上该层的协议头，再发送给下一层。

当然，网络包在每一层的处理逻辑，都取决于各层采用的网络协议。比如在应用层，一个提供 REST API 的应用，可以使用 HTTP 协议，把它需要传输的 JSON 数据封装到 HTTP 协议中，然后向下传递给 TCP 层。

而封装做的事情就很简单了，只是在原来的负载前后，增加固定格式的元数据，原始的负载数据并不会被修改。

比如，以通过 TCP 协议通信的网络包为例，通过下面这张图，我们可以看到，应用程序数据在每个层的封装格式。

这些新增的头部和尾部，增加了网络包的大小，但我们都知道，物理链路中并不能传输任意大小的数据包。网络接口配置的最大传输单元（MTU），就规定了最大的 IP 包大小。在我们最常用的以太网中，MTU 默认值是 1500（这也是 Linux 的默认值）。

一旦网络包超过 MTU 的大小，就会在网络层分片，以保证分片后的 IP 包不大于 MTU 值。显然，MTU 越大，需要的分包也就越少，自然，网络吞吐能力就越好。

理解了 TCP/IP 网络模型和网络包的封装原理后，你很容易能想到，Linux 内核中的网络栈，其实也类似于 TCP/IP 的四层结构。如下图所示，就是 Linux 通用 IP 网络栈的示意图：

我们从上到下来看这个网络栈，你可以发现，

这里我简单说一下网卡。网卡是发送和接收网络包的基本设备。在系统启动过程中，网卡通过内核中的网卡驱动程序注册到系统中。而在网络收发过程中，内核通过中断跟网卡进行交互。

再结合前面提到的 Linux 网络栈，可以看出，网络包的处理非常复杂。所以，网卡硬中断只处理最核心的网卡数据读取或发送，而协议栈中的大部分逻辑，都会放到软中断中处理。

我们先来看网络包的接收流程。

当一个网络帧到达网卡后，网卡会通过 DMA 方式，把这个网络包放到收包队列中；然后通过硬中断，告诉中断处理程序已经收到了网络包。

接着，网卡中断处理程序会为网络帧分配内核数据结构（sk_buff），并将其拷贝到 sk_buff 缓冲区中；然后再通过软中断，通知内核收到了新的网络帧。

接下来，内核协议栈从缓冲区中取出网络帧，并通过网络协议栈，从下到上逐层处理这个网络帧。比如，

最后，应用程序就可以使用 Socket 接口，读取到新接收到的数据了。

为了更清晰表示这个流程，我画了一张图，这张图的左半部分表示接收流程，而图中的粉色箭头则表示网络包的处理路径。

了解网络包的接收流程后，就很容易理解网络包的发送流程。网络包的发送流程就是上图的右半部分，很容易发现，网络包的发送方向，正好跟接收方向相反。

首先，应用程序调用 Socket API（比如 sendmsg）发送网络包。

由于这是一个系统调用，所以会陷入到内核态的套接字层中。套接字层会把数据包放到 Socket 发送缓冲区中。

接下来，网络协议栈从 Socket 发送缓冲区中，取出数据包；再按照 TCP/IP 栈，从上到下逐层处理。比如，传输层和网络层，分别为其增加 TCP 头和 IP 头，执行路由查找确认下一跳的 IP，并按照 MTU 大小进行分片。

分片后的网络包，再送到网络接口层，进行物理地址寻址，以找到下一跳的 MAC 地址。然后添加帧头和帧尾，放到发包队列中。这一切完成后，会有软中断通知驱动程序：发包队列中有新的网络帧需要发送。

最后，驱动程序通过 DMA ，从发包队列中读出网络帧，并通过物理网卡把它发送出去。

多台服务器通过网卡、交换机、路由器等网络设备连接到一起，构成了相互连接的网络。由于网络设备的异构性和网络协议的复杂性，国际标准化组织定义了一个七层的 OSI 网络模型，但是这个模型过于复杂，实际工作中的事实标准，是更为实用的 TCP/IP 模型。

TCP/IP 模型，把网络互联的框架，分为应用层、传输层、网络层、网络接口层等四层，这也是 Linux 网络栈最核心的构成部分。

我结合网络上查阅的资料和文章中的内容，总结了下网卡收发报文的过程，不知道是否正确：

当发送数据包时，与上述相反。链路层将数据包封装完毕后，放入网卡的DMA缓冲区，并调用系统硬中断，通知网卡从缓冲区读取并发送数据。

了解 Linux 网络的基本原理和收发流程后，你肯定迫不及待想知道，如何去观察网络的性能情况。具体而言，哪些指标可以用来衡量 Linux 的网络性能呢？

实际上，我们通常用带宽、吞吐量、延时、PPS（Packet Per Second）等指标衡量网络的性能。

除了这些指标，网络的可用性（网络能否正常通信）、并发连接数（TCP 连接数量）、丢包率（丢包百分比）、重传率（重新传输的网络包比例）等也是常用的性能指标。

分析网络问题的第一步，通常是查看网络接口的配置和状态。你可以使用 ifconfig 或者 ip 命令，来查看网络的配置。我个人更推荐使用 ip 工具，因为它提供了更丰富的功能和更易用的接口。

以网络接口 eth0 为例，你可以运行下面的两个命令，查看它的配置和状态：

你可以看到，ifconfig 和 ip 命令输出的指标基本相同，只是显示格式略微不同。比如，它们都包括了网络接口的状态标志、MTU 大小、IP、子网、MAC 地址以及网络包收发的统计信息。

第一，网络接口的状态标志。ifconfig 输出中的 RUNNING ，或 ip 输出中的 LOWER_UP ，都表示物理网络是连通的，即网卡已经连接到了交换机或者路由器中。如果你看不到它们，通常表示网线被拔掉了。

第二，MTU 的大小。MTU 默认大小是 1500，根据网络架构的不同（比如是否使用了 VXLAN 等叠加网络），你可能需要调大或者调小 MTU 的数值。

第三，网络接口的 IP 地址、子网以及 MAC 地址。这些都是保障网络功能正常工作所必需的，你需要确保配置正确。

第四，网络收发的字节数、包数、错误数以及丢包情况，特别是 TX 和 RX 部分的 errors、dropped、overruns、carrier 以及 collisions 等指标不为 0 时，通常表示出现了网络 I/O 问题。其中：

ifconfig 和 ip 只显示了网络接口收发数据包的统计信息，但在实际的性能问题中，网络协议栈中的统计信息，我们也必须关注。你可以用 netstat 或者 ss ，来查看套接字、网络栈、网络接口以及路由表的信息。

我个人更推荐，使用 ss 来查询网络的连接信息，因为它比 netstat 提供了更好的性能（速度更快）。

比如，你可以执行下面的命令，查询套接字信息：

netstat 和 ss 的输出也是类似的，都展示了套接字的状态、接收队列、发送队列、本地地址、远端地址、进程 PID 和进程名称等。

其中，接收队列（Recv-Q）和发送队列（Send-Q）需要你特别关注，它们通常应该是 0。当你发现它们不是 0 时，说明有网络包的堆积发生。当然还要注意，在不同套接字状态下，它们的含义不同。

当套接字处于连接状态（Established）时，

当套接字处于监听状态（Listening）时，

所谓全连接，是指服务器收到了客户端的 ACK，完成了 TCP 三次握手，然后就会把这个连接挪到全连接队列中。这些全连接中的套接字，还需要被 accept() 系统调用取走，服务器才可以开始真正处理客户端的请求。

与全连接队列相对应的，还有一个半连接队列。所谓半连接是指还没有完成 TCP 三次握手的连接，连接只进行了一半。服务器收到了客户端的 SYN 包后，就会把这个连接放到半连接队列中，然后再向客户端发送 SYN+ACK 包。

类似的，使用 netstat 或 ss ，也可以查看协议栈的信息：

这些协议栈的统计信息都很直观。ss 只显示已经连接、关闭、孤儿套接字等简要统计，而 netstat 则提供的是更详细的网络协议栈信息。

比如，上面 netstat 的输出示例，就展示了 TCP 协议的主动连接、被动连接、失败重试、发送和接收的分段数量等各种信息。

接下来，我们再来看看，如何查看系统当前的网络吞吐量和 PPS。在这里，我推荐使用我们的老朋友 sar，在前面的 CPU、内存和 I/O 模块中，我们已经多次用到它。

给 sar 增加 -n 参数就可以查看网络的统计信息，比如网络接口（DEV）、网络接口错误（EDEV）、TCP、UDP、ICMP 等等。执行下面的命令，你就可以得到网络接口统计信息：

这儿输出的指标比较多，我来简单解释下它们的含义。

其中，Bandwidth 可以用 ethtool 来查询，它的单位通常是 Gb/s 或者 Mb/s，不过注意这里小写字母 b ，表示比特而不是字节。我们通常提到的千兆网卡、万兆网卡等，单位也都是比特。如下你可以看到，我的 eth0 网卡就是一个千兆网卡：

其中，Bandwidth 可以用 ethtool 来查询，它的单位通常是 Gb/s 或者 Mb/s，不过注意这里小写字母 b ，表示比特而不是字节。我们通常提到的千兆网卡、万兆网卡等，单位也都是比特。如下你可以看到，我的 eth0 网卡就是一个千兆网卡：

我们通常使用带宽、吞吐量、延时等指标，来衡量网络的性能；相应的，你可以用 ifconfig、netstat、ss、sar、ping 等工具，来查看这些网络的性能指标。

小狗同学问到： 老师，您好 ss —lntp 这个 当session处于listening中 rec-q 确定是 syn的backlog吗？
A: Recv-Q为全连接队列当前使用了多少。 中文资料里这个问题讲得最明白的文章： https://mp.weixin.qq.com/s/yH3PzGEFopbpA-jw4MythQ

看了源码发现，这个地方讲的有问题.关于ss输出中listen状态套接字的Recv-Q表示全连接队列当前使用了多少,也就是全连接队列的当前长度,而Send-Q表示全连接队列的最大长度

❺ TCP/IP网络模型从上至下哪四层组成各层主要功能是什么

1、组成：应用层、传输层、网络层、链路层

2、各层主要功能：

应用层：负责向用户提供应用程序，比如HTTP、FTP、Telnet、DNS、SMTP等。

传输层：负责对报文进行分组和重组，并以TCP或UDP协议格式封装报文。

网络层：负责路由以及把分组报文发送给目标网络或主机。

链路层：负责封装和解封装IP报文，发送和接受ARP/RARP报文等。

(5)linux网络协议结构扩展阅读

OSI是开放系统互连参考模型 (Open System Interconnect 简称OSI），是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。

它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

而TCP/IP简单来说就是OSI的简化版，把OSI的七层简化为了四层。TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。

协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。

❻ 简述linux系统的特点以及文件的结构

1．模块化程度高
Linux的内核设计非常精巧，分成进程调度、内存管理、进程间通信、虚拟文件系统和网络接口五大部分；其独特的模块机制可根据用户的需要，实时地将某些模块插入或从内核中移走，使得Linux系统内核可以裁剪得非常小巧，很适合于嵌入式系统的需要。
2．源码公开
由于Linux系统的开发从一开始就与GNU项目紧密地结合起来，所以它的大多数组成部分都直接来
自GNU项目。任何人、任何组织只要遵守GPL条款，就可以自由使用Linux
源代码，为用户提供了最大限度的自由度。这一点也正投嵌入式系统所好，因为嵌入式系统应用千差万别，设计者往往需要针对具体的应用对源码进行修改和优化，
所以是否能获得源代码
对于嵌入式系统的开发是至关重要的。加之Linux的软件资源十分丰富，每种通用程序在Linux上几乎都可以找到，并且数量还在不断增加。这一切就使设
计者在其基础之上进行二次开发变得非常容易。另外，由于Linux源代码公开，也使用户不用担心有“后闸”等安全隐患。
同时，源码开放给各教育机构提供极大的方便，从而也促进了Linux的学习、推广和应用。
3．广泛的硬件支持
Linux能支持x86、ARM、MIPS、ALPHA和PowerPC等多种体系结构的微处理器。目前已成功地移植到数十种硬件平台，几乎能运行在所有流行的处理器上。
由于世界范围内有众多开发者在为Linux的扩充贡献力量，所以Linux有着异常丰富的驱动程序资源，支持各种主流硬件设各和最新的硬件技术，甚至可在没有存储管理单元MMU 的处理器上运行，这些都进一步促进了Linux在嵌入式系统中的应用。
4．安全性及可靠性好
内核高效稳定。Linux内核的高效和稳定已在各个领域内得到了大量事实的验证。
Linux中大量网络管理、网络服务等方面的功能，可使用户很方便地建立高效稳定的防火墙、路由器、工作站、服务器等。为提高安全性，它还提供了大量的网络管理软件、网络分析软件和网络安全软件等。
5．具有优秀的开发工具
开发嵌入式系统的关键是需要有一套完善的开发和调试工具。传统的嵌入式开发调试工具是在线仿真器（In Circuit Emulator，ICE），它通过取代目标板的微处理器，给目标程序提供一个完整的仿真环境，从而使开发者能非常清楚地了解到程序在目标板上的工作状态，便于监视和调试程序。在线仿真器的价格非常高，而且只适合做非常底层的调试。如果使用的是嵌人式Linux，一旦软硬件能支持正常的串口功能，即使不用在线仿真器，也可以很好地进行开发和调试工作，从而节省了一笔不小的开发费用。嵌入式Linux为开发者提供了一套完整的工具链（Tool Chain），能够很方便地实现从操作系统到应用软件各个级别的调试。
6．有很好的网络支持利文件系统支持
Linux从诞生之日起就与Internet密不可分，支持各种标准的Internet网络协议，并且很容易移植到嵌入式系统当中。目前，Linux几乎支持所有主流的网络硬件、网络协议和文件系统，因此它是NFS的一个很好的平台。
另一方面，由于Linux有很好的文件系统支持（例如，它支持Ext2、FAT32、romfs等文件系统），是数据各份、同步和复制的良好平台，这些都为开发嵌入式系统应用打下了坚实的基础。
7．与UNIX完全兼容
目前，在Linux中所包含的工具和实用程序，可以完成UNIX的所有主要功能。
但由于Linux不是为实时而设计的，因而这就成了Linux在实时系统中应用的最大遗憾。不过，目前有众多的自由软件爱好者正在为此进行不懈的努力，也取得了诸多成果。

❼ Linux网络协议栈7--ipsec收发包流程

流程路径：ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_finish()
解封侧一定是ip报文的目的端，ip_rcv_finish中查到的路由肯定是本机路由（RTCF_LOCAL），调用 ip_local_deliver 处理。
下面是贴的网上的一张图片。

ip_local_deliver_finish中 根据上次协议类型，调用对应的处理函数。inet_protos 中挂载了各类协议的操作集，对于AH或者ESP来说，是xfrm4_rcv，对于ipsec nat-t情况下，是udp协议的处理函数udp_rcv，内部才是封装的ipsec报文（AH或者ESP）。

xfrm4_rcv --> xfrm4_rcv_spi --> xfrm4_rcv_encap --> xfrm_input
最终调用 xfrm_input 做收包解封装流程。
1、创建SKB的安全路径；
2、解析报文，获取daddr、spi，加上协议类型（esp、ah等），就可以查询到SA了，这些是SA的key，下面列出了一组linux ipsec的state（sa）和policy，方便一眼就能看到关键信息；
3、调用SA对应协议类型的input函数，解包，并返回更上层的协议类型，type可为esp,ah,ipcomp等。对应的处理函数esp_input、ah_input等；
4、解码完成后，再根据ipsec的模式做解封处理，常用的有隧道模式和传输模式。对应xfrm4_mode_tunnel_input 和 xfrm4_transport_inout，处理都比较简单，隧道模式去掉外层头，传输模式只是设置一些skb的数据。
5、协议类型可以多层封装，如ESP+AH，所以需要再次解析内存协议，如果还是AH、ESP、COMP，则解析新的spi，返回2，查询新的SA处理报文。
6、经过上面流程处理，漏出了用户数据报文（IP报文），根据ipsec模式：

流程路径如下图，这里以转发流程为例，本机发送的包主要流程类似。
转发流程：

ip_forward 函数中调用xfrm4_route_forward，这个函数：
1、解析用户报文，查找对应的Ipsec policy（__xfrm_policy_lookup）；
2、再根据policy的模版tmpl查找对应最优的SA（xfrm_tmpl_resolve），模版的内容以及和SA的对应关系见上面贴出的ip xfrm命令显示；
3、最后根据SA生成安全路由，挂载再skb的dst上； 一条用户流可以声明多个安全策略（policy），所以会对应多个SA，每个SA处理会生成一个安全路由项struct dst_entry结构（xfrm_resolve_and_create_bundle），这些安全路由项通过 child 指针链接为一个链表，其成员 output挂载了不同安全协议的处理函数，这样就可以对数据包进行连续的处理，比如先压缩，再ESP封装，再AH封装。
安全路由链的最后一个路由项一定是普通IP路由项，因为最终报文都得走普通路由转发出去，如果是隧道模式，在tunnel output封装完完成ip头后还会再查一次路由挂载到安全路由链的最后一个。
注： SA安全联盟是IPsec的基础，也是IPsec的本质。 SA是通信对等体间对某些要素的约定，例如使用哪种协议、协议的操作模式、加密算法、特定流中保护数据的共享密钥以及SA的生存周期等。

然后，经过FORWARD点后，调用ip_forward_finish()-->dst_output，最终调用skb_dst(skb)->output(skb)，此时挂载的xfrm4_output

本机发送流程简单记录一下，和转发流程殊途同归：
查询安全路由： ip_queue_xmit --> ip_route_output_flow --> __xfrm_lookup
封装发送： ip_queue_xmit --> ip_local_out --> dst_output --> xfrm4_output

注：
1). 无论转发还是本地发送，在查询安全路由之前都会查一次普通路由，如果查不到，报文丢弃，但这条路由不一定需要指向真实的下一跳的出接口，只要能匹配到报文DIP即可，如配置一跳其它接口的defualt。
2). strongswan是一款用的比较多的ipsec开源软件，协商完成后可以看到其创建了220 table，经常有人问里面的路由有啥用、为什么有时有有时无。这里做个测试记录： 1、220中貌似只有在tunnel模式且感兴趣流是本机发起（本机配置感兴趣流IP地址）的时候才会配置感兴趣流相关的路由，路由指定了source；2、不配置也没有关系，如1）中所说，只要存在感兴趣流的路由即可，只不过ping的时候需要指定source，否者可能匹配不到感兴趣流。所以感觉220这个表一是为了保证

ipsec封装发送流程：
xfrm4_output-->xfrm4_output_finish-->xfrm_output-->xfrm_output2-->xfrm_output_resume-->xfrm_output_one
xfrm4_output 函数先过POSTROUTING点，在封装之前可以先做SNAT。后面则调用xfrm_output_resume-->xfrm_output_one 做IPSEC封装最终走普通路由走IP发送。

贴一些网上的几张数据结构图
1、安全路由

2、策略相关协议处理结构

3、状态相关协议处理结构

❽ 简单的给我介绍下网络协议中的TCP协议的数据结构是怎么样的

TCP协议的数据结构是，原IP地址-原端口号-目标IP地址-目标端口号-数据检测-数据-校验。
这就是TCP协议数据的简单传输原理，也是它简单的数据结构，
如果你真想详细的了解这些知道话，可以去长沙新华看下，它们还想有这类的课程。

❾ 从ip addr add和ifconfig的区别看linux网卡ip地址的结构

如果你非常理解网络协议的原理以及网络的分层架构那么我想你就不会有这个问题，实际上，每一个网卡设备都有一个mac地址，但是却可 以有多个网络层地址，比如IP地址，然而这个事实无法很好地像用户提供操作接口，所以就引出了ip别名（IP aliases）和辅助ip（secondary IP addresses）的概念。其实很容易理解这个事实，按照分层的思想，下层总是为上层服务，也就是为上层提供舞台，上层利用下层的服务，而不必让下层知 道自己的情况，如果一个拥有合理mac地址的网卡没有配置网络层地址（比如IP地址）这件事合理的话，那么为这个设备配置多个IP地址也是合理的，正好像 一个ip可以对应多个应用层端口一样，也就是说，下层对上层总是一对多的关系，在分层架构中这种关系是合理的。下面我们就看一下linux的网卡的ip地 址结构。刚才说了在linux中，一个网卡可以有多个IP，那么这多个ip有什么关系呢？其实这些ip组成了一个吊链结构，所谓吊链结构就是一些节点链接 成一条链，然后每个节点带有自己的一条链

每个节点代表的ip地址标识一个网段，这个节点的ip就是这个网段的 Primary地址，它下面所带的ip就是这个网段的Secondary地址，也就是说一个网卡可以带有各个节点所带链表长度之和个ip地址，而且这些 ip不是线形的，而是上述的吊链结构。我们看一下这么做有什么好处。玩过Cisco路由器的朋友可能都知道有个Secondary IP的概念，这个特性可以创建逻辑子网，也就是说在一个物理网口上连接两个子网，这咋看起来好像不可思议，其实很简单，比如这个网口接到一台交换机上，如 果这个网口没有配置Secondary IP的话，那么这台交换机只能连接一个网段的主机，比如192.168.1.1/24，但是，如果它配置了Secondary IP，那么就可以连接两个网段的主机，比如192.168.1.1/24和10.0.0.1/24，道理就是这么简单，但是却很有用，该机制可以被路由汇 总策略所使用。注意上面这个例子中的Secondary IP不是这里说的linux的Secondary address，在linux中恰恰相反，只要一个网卡上配置的ip不是一个网段的，那么都是Primary IP，就是吊链结构中上面的那条主链中的IP，linux中的Secondary address是主链结点的子链结点中的IP，这一点一定注意，概念是不能混淆的。前面说的只是吊链中主链的作用，那么子链呢？其实想象一下也很简单，比 如一台机器上运行着一个代理服务器或者负载均衡服务，代理服务器或者负载均衡服务和主服务器要监听相同的端口，那么就可以用secondary address来解决了，只要需要在同一网段监听同一个端口的应用都是吊链中子链存在的原因，因此可以说，主链对外部或者说对下面链路层虚拟了多块网卡， 而子链向上层虚拟了多台机器，配置了吊链结构的linux主机如果说只有一块网卡，那么外部会认为它有多块网卡，对于内部，应用层会认为彼此在不同的主机 上，这就是效果。
除了上面大体的介绍之外，还有很多细节，吊链在主链上是没有主次的，子链除了第一个节点其它节点也不分主次，都是平行的关系，但是子链中的第一个节点总是 链接在主链中，它们携带的地址就是primary地址，它们下面隶属的子链携带的地址就是这个primary地址的secondary地址，如此看来，一 旦主链上一个节点被删除了，那么它的子链也将不复存在，所谓皮之不存毛将焉附。但是这种策略总是显得不是那么优美，因为父亲犯错，儿子也要受连累，这在现 代社会早就不时行了，那么就需要改变机制了，因此linux中特意有了一个选项，就是当一个primary地址被删除时，如果它有secondary地址 的话，那么它的第一个secondary地址（长子）继承被删除的primary地址的位置成为primary地址，这样就显得很合理了，要不然在删除 primary地址的时候，如果有程序用secondary地址，那么要么延迟删除，要么程序崩溃，采用自动提升策略的话就不会出现问题。
至于说IP aliases，那是以前版本有的了，就是一个实现问题，解决的问题和现在的secondary IP机制一样，它主要就是在物理网卡名字后面加上后缀从而成为虚拟网络接口，本质上和secondary IP机制没有区别，区别就是IP aliases显得不是那么直观，而secondary IP却是真正让应用看到了一个网卡的多个地址，比如你要是用IP aliases的话，有的时候你总是会问eth0:0是什么？我就曾经在内核里面拼命找eth0:0这个网络设备的注册代码，都要疯掉了也没有找到，其实 我并不是很傻，但是我却因为那个该死的名字作出了傻事。
下面就可以看看linux内核的实现代码了，首先弄明白一些数据结构，最重要的就是net_device，其次就是in_device，然后就是in_ifaddr，明白了这三个数据结构，一切就明白了，这是真的。

structnet_device
{
...
void*ip_ptr;//指向一个in_device结构，这字段从net_device中分离表明一个网卡可以支持多种网络层协议的
...
}
structin_device
{
structnet_device*dev;//指向它隶属的net_device，也就是网卡
atomic_trefcnt;//引用计数
intdead;
structin_ifaddr*ifa_list;//所有的ip地址链表
...
};
structin_ifaddr//代表一个ip地址
{
structin_ifaddr*ifa_next;//上面的in_device中的ifa_list字段就是靠这个字段连成链的
structin_device*ifa_dev;//回指in_device结构
structrcu_headrcu_head;
u32ifa_local;//ip地址
u32ifa_address;
u32ifa_mask;//掩码
u32ifa_broadcast;//广播地址
u32ifa_anycast;
unsignedcharifa_scope;
unsignedcharifa_flags;//只有IFA_F_SECONDARY标志，因为除了这个就是primary地址了
unsignedcharifa_prefixlen;
charifa_label[IFNAMSIZ];//名字，在ipaliases时代，它就可能是ethx:y的形式，在secondaryip时代，它统一就是ethx
};

注 意，上面的结构并没有将linux网卡的ip地址结构表示为吊链结构，所谓的吊链结构只是逻辑上的，在数据结构上，一个网卡所有的ip地址全部都在 ifa_list中被链接成一个线性的链表，至于是primary地址还是secondary地址就看in_ifaddr的ifa_flags字段了。每 当有新的地址被设置的时候，inet_insert_ifa总是被调用，linux为何没有在代码上将ip地址表示为吊链结构呢？我也不知道，个人感觉一 个net_device带有一个primary ip链表，然后每个primary ip节点带有一个secondary ip链表，这样会更好一些的，我觉得inet_insert_ifa实现的十分拙劣。添加地址可以通过两个用户空间程序搞定，一个是ifconfig，另 一个是ip addr add，ifconfig是基于ioctl进行地址添加的，而ip程序是基于netlink进行地址添加的，不管哪一种方式都可以达到目的，现在就可以看 看另一个问题了：为何用ip addr add添加的ip地址用ifconfig看不到，而ifconfig设置的地址ip addr show却是可以看到。这个问题通过看代码一眼就可以明白，在ifconfig获得ip地址的时候，代码：

for(ifap=&in_dev->ifa_list;(ifa=*ifap)!=NULL;ifap=&ifa->ifa_next)
{
if(!strcmp(ifr.ifr_name,ifa->ifa_label)&&sin_orig.sin_addr.s_addr==ifa->ifa_address)
{
break;
}
}

取 的是这个被找到的ifa的ip地址，而我们知道，所有的ifa链接成一个线性链表，那么找到了第一个就不会再往后走了，因此只能得到一个结果，就是链表最 前面的那个，而ip add show就不同了，具体在函数inet_mp_ifaddr中实现，该函数遍历所有的ifa，并且传到用户空间缓冲区。这里可以做一个实验：首先用 ip addr add添加几个不在同一个网段的primary ip地址，然后再ifconfig一个和前面的ip都不在一个网段的ip，然后可以用ifconfig查看一下，发现不是刚刚用ifconfig设置进去 的那个ip，而是用ip addr add添加进去的，这就说明ifconfig永远都是取的ifa链表最前面的那一个，还有一点要注意，就是如果你用ip addr add添加了很多的secondary ip地址，那么恰好你用ifconfig设置的ip地址和那些secondary ip在一个网段，那么所有的secondary ip都将被删除，这些都是sencondary ip的规范决定的，而且在代码中也有体现。另外还要注意，路由表的表项都是基于primary ip的，因为所有的操作都是以primary ip为主的，比如在添加路由的时候：

voidfib_add_ifaddr(structin_ifaddr*ifa)
{
structin_device*in_dev=ifa->ifa_dev;
structnet_device*dev=in_dev->dev;
structin_ifaddr*prim=ifa;
...
if(ifa->ifa_flags&IFA_F_SECONDARY){//如果ifa是个sencondary地址，那么就找到它隶属的primary地址后然后以这个primary为主进行设置
prim=inet_ifa_byprefix(in_dev,prefix,mask);
if(prim==NULL){
printk(KERN_DEBUG"fib_add_ifaddr:bug:prim==NULL/n");
return;
}
}
fib_magic(RTM_NEWROUTE,RTN_LOCAL,addr,32,prim);//添加进路由表
...
}

到 此为止我们知道了不少东西，最重要的就是linux中网卡ip地址的吊链结构以及这么设计的好处，另外就是设置ip地址的方式有ioctl和 netlink。其实网卡拥有多个ip并不会带来什么冲突，本质上ip和网卡没有什么关系，它们唯一的关系就是靠网络分层模型联系在一起的，细节上就是靠 路由联系在一起的，比如我添加路由的时候指定了一个目的地址和下一跳ip地址以及一个网卡出口，那么内核会根据提供的目的地址将路由插在合式的位置，然后 将nh的网络设备设置为你提供的网卡出口，等到传输数据的时候就会查找路由从而找到出口，就是这么简单，你自己手动设置的路由可以随意设置，即使完全错误 内核也会将之加入路由表的，还有一种路由是内核自动生成的，就是在网卡刚刚up的时候，这时通过网卡的net_device找到其in_device然后 找到其ip地址，这样的路由称为链路路由。
通过secondary IP机制，你可以认为你的机器有很多网卡，对于应用，监听同一端口的应用会认为它们在局域网中不同的机器上，你可以随意使用这些ip地址而不会发生混乱，路由和底层的arp会处理好这一切，当然前提是你将路由设置对。
附： 用户空间有ifup/ifdown，/sbin/ip，ifconfig，还有netplugd守护进程，这些有何关系吗？这中间ip程序是最基本的，没 有任何策略，策略就是参数指定，要么就是别的程序调用它，而netplugd就是一个监控守护进程，通过netlink监控网卡状态，然后根据不同的监控 结果调用/etc/netplug.d/netplug脚本，进而可能调用ifup/ifdown脚本，而后者就是脚本，其中会调用ifup-eth脚 本，最终整理好参数后调用ip程序（典型的就是：ip link set eth0 up/down），当然ip程序完全可以自己调用，比如ip addr add以及ip route add等等，而ifconfig没有那么绕圈子，就是通过ioctl进行设置，可以通过strace来观察。这其中奥妙大了去了，说白了就是策略和机制分 离，另外还体现出linux中的很多功能都是很小的程序组合而成的。

Linux的ip地址的吊链结构以及ip地址的寻址特性（详见《关于IP网段间互访的问题—路由是根本》）充分说明了linux的协议栈实现多么的完美，完全符合分层和封装模型，使得下层的逻辑和上层的逻辑完全解除耦合，也就是说ip层完全不依赖链路层以及物理层的物理布局，最后记住，ip层事情比如寻址路由只由ip层实现，之所有有链路层发现的路由，完全是为了方便。