linux路由协议网络协议栈.docx

迈普学习总结经过在公司地学习了几个月，把大体的工作总结于K在参加1800-203G路由的开发中，北叁加了12tp.grc,静态路由,ipscc,日志关犍信息提取的8写并同时向AllTipsec-toolsWW,HnStkECl网络协议栈源玛，I2tpd双的分析,井H同时了解了Vnp,rip等协议。1.STPWfc1.2tp代码流程:其中认证过程分为PaP和ChaP认证：Pap认证：1.H侑<.1IheIMChapiAiE:大体过程应当是这样的，中间或许有惜，主要史记不大清晰r,PPPd向内核注珊过程如FRb1 .用户数据发送过程如下所示,应用IIII*MkKd*VJpPPIIIIPPP力议，依IIWII2 .PPPd的控制怫仪数据发送过程,PWd-Ppchape4p(etc)->devp->PPP怜议>tty->做JaC的路由器通过拨号到Ins,通过上面的连接认证后.InS会冷IaC安排一个和有ip地址,谖IP地址“J以和2通保通过这个过程后，久呵以让内网1的PC访问内网2的pc.GreM模型:起先的时候，内网1和内网2是不能相互到达的,因为中间右很多中间网络.当建立好GRE陂道后，内网1可以和内M2通信了.实现：GRE脚本主要通过iproute2这个I：具实现,运用的主要脚本财咐：Iprouteadd$namemodegrrremoteSremotdplocal$loCaIiPttl255Iprouteset$nameupIprouteaddnetSnct/SmaskdevSnamc脚本流程：WI在从IUa保存的配置文件中获得到上面的变“t他，然后通过以上指令，格变心值设置到相应的随逆中.责任：主要拊当Bre模块的测渣(Hnux),DDNS«*:原理：DDNS又叫动态域名解析,好用环境是在用户动态佚得【P地址的状况F，因为传统的DNS只能叼冏定】P地址绑定，一旦IP地址发生变更，相应的域名符不能解析目变换后的IP地址匕然埼DDNS变更这一点。它以动态域名绑定的方式来完成这点.什么叫动态域名呢？就是指在用户的】Pjt址发生变更时，相应的DDNS客户必会把11己现在的变更后的IP地址传给DDNS服务器，告知它自己的IP地址已经发生变更，尔要服务器将以前做定域名的IP换成现在变更后的IP地址。假如内部在加I:端Il帙射，那么久可以实现路由器内部的匕机向按与DNS绑定，印火他人通过域名就能访问的内网的某合计尊上的服务JS，责任：DDNS的测试.MUIAim原理：举个例子，当一个路由霹1«接入到一个网络中时，在这个生魂的环境中，它根本不知递去某个地址该怎么走，静态路由就相当广一个指路人，它告知旃由戕某个【P地址该怎么走，配置的时候，只须要告知路由器到达某个网络笫要从哪张网k和相应网卡出去的网关堆址就可以r.这样凡是到那个网络的IP数抠但，踣由戕布会将它从相应网卡转发出去(«1-1).它并不关切数据包便否真正的到达.实现：共体吩咐：routeadd-net$netmaskSnttmaskgwSgatcwaydevSdevicc责任：砂态WHh的脚本的茶本楸架,Ip«c«*原理：花内核2.6版本中已经存在IPSeC模块，该根块的主要作用是让数据包经过加修/认证从平安的俄道中到达指定的Il标地址”它的有几种数据包格式，种是esp.种是ah.另种是esp，ah.他们的推文格式如1.Ah½种用于认证报文，它主要是给数第包供应认证,W>iftft;ESP是一种用于加密报文，当然它也有认证的功俺，井乩也J“1抗吸放的机制.它是一种更优越于AH的报文结构-另外，csp+ah则是一种集csp和ah于一身的格A.*然它的平安性篦更不行否认了，祭个模块分为两大类：第一奥，kernelipscc的实现,共次美上层应用程序ike即为ipscc模块协商认证算法和加密算法的陈双，下面谈谈ike协议.Ikc协议分为两个阶段，第一阶段协商财对方的当份选行认证，并且为其次阶段的陟商供应一条平安率命的通道.第一个阶段乂分为3种模式，我们常用的仃四种模式，一个是主模式，一个是主动模式，其次阶段主要对】PSEC的平安性提进行协商，产生真正可以用来加麻敛榭流的密以上过程中包含S证恺息，我就没特殊指出了.具体格见如F：发送CoCkle包，用来标识唯的个】PSEC会说!KE阶段一（主模式>：发送消息1initiator=>rcsponsoriSttkmpheaderXapayloadproposalpayloadtransformpayload定义组被略:加密方法：DES认证讨价方法：ffl共学笛的认证1及列：MD5存活时间：86400秒Diffie-Hdlmangroup：1IKE阶段二（主模式）：发送消£12同上IKK阶段三（主模式）：发送消息3通过DH算法产生共密钠KE（KeyExchang）Payloadnoncc（JMff）PayloadDH"法：A:巴较大的Mjs：）GPriA（随机产生）PUbA-GAPriAmodP交换PubA和PubBZ=PUbBAPriAmodPinitiator<=rcsponsorinitiator->responsorB:Pl较大的成数GPriB（医机产生）PUbB-GAPriBmodPZ=PubAPriBmodPZ就是共学金甘J,两个自我产生的Z良相同，它是用来产生3个SKEYlD的素材IKE阶段四（主模式）：发送消息4initiator<三三三"rcsponsorMJh主校式制3、4条消息其实就是DHm法中须要交换的几个期数.然后踏由器再通过DH算徒计尊出的公共密的计算出以下3个叁数（这是在发送第5、6个消息的完成的>:SKEYlD_d;SI在在此次阶段用，用来计算后续的【KE密物资四；SKEYlD_“：低列ffi共享密包，供应IKE数楙完祭性和认证；SKEY】D-e:用来加密卜席段的message,data,presharedkey,包括"次阶段.IKE阶段五（土模式）:发送消Q5initiator>responsorIdentityPayk>ad：用于。份标iHHashPayload：用来认证以上2个负我都用SKEY1D.C加密IKE阶段六（生模式）:发送消息6tnitiator<-responsorWt消息5、6是用来S证对等体4份的.至此IKE协商第一阶段完成.生要会发送6个报文，由J：最终一如掴文发送的足力价，此时身份已经加密，因此，只能柔纳地址进行认证，（H太平安性而于主动模式.缺点是耗时比IWl）模式长.主要发送3个报文，安It没有主IB式好，由其ID不加密，因此可用于移动客户羯桢式。即不川地址作为1D。优点：速度快，BJ或干安性不高，火次阶段快速模式（IPSecSA阶段）：|发KrtI1个二革':£匕投记林法"掾收喊IErlr*t丁丁，*.*I推秋冷II1.9丁丁利Il一IIteir谖代浅I以上过程中包含粉证信息（一起先假如支持PFS算法,那么还要协商DH"法），我牝没特殊指出/U体参虬如F：首先推断赵否启用了PFS（完各转发P安）,若由用了则收款进行DH州法产生密甘j,若没有后用则是用第一阶段的密树.IPSec阶段一（快遑模式）：发送小£11initiator->responsor同样定义组策略，按并用SKEYlDe加密：EncapsulationESPIntegritychecking-SHA-HMACDHgroup-2Mode-TunnelIPSec阶段二(快if模式)：发送消£12initiator*responsor网上，主要是0洎息1策略的一个确认.在发送港总3而，用SKEYID.d,DH共享率仍，SPI等产生真正用来加电数1«的密册.IPSec阶段三(快je模式):发送消恩3initiato->responsor用来核实responsor的Iiveness,至此，整个IPSeC协商的两个过程已f完成，两端可以进行平安的数据传输.实现：ike协议我们主要是逋过利川开源软件ipsec-took来实现的,责任：负责IPSeC的代码BUG解决(BUG-M多,就不列出了),IPSeC的证书中请Rl本编写(探讨了。pens制,IpMC-toote*fleayjnit(opensli初始化mitkconf(;本地配置文件初始化mitrmConf();远雄配Ji文件初始化oaklcy_dhinit();/dh算法初蛤化COmPUte-VCndOridS();/dpdparseac.av);佐进来的叁故分析PlOginit(|;本地H志初蛤化PfkeyjniW/内核接Uaf_kcy初始化，主要足向内核注册xukmpJnitaSAKMPwPGNnCO1.D)isakmp配置初始化CfParse);配置文件分析，别I1.赋位给相应雄构体session。;主要会话卜而是session诵数怛面的实现：SChedJnItO;调度初始化inij3ignal(;信号初始化adminjnitsetke>,racoonctl的连接Il初始化initmyaddr<);初始化本地地址sakminit/Isakmp初蛤化initfdsD;初纺化Sdect的套接字natt.kccpalivejnit(ljM4fr1tnat协商的相关内容for(I-O;iV-NSIG;i+)信号的相应保存变ht初始化sigreqi)-0;ChakSigrCq()：检测地否收到“信号error-select(nfds,&rfds,(fd_sct)O.|fd_sct,)0,timeout);/多路监听admin_handler<>；/HkWrfIsetkey和racoonctl的fd触发，调川该函数处理ISakmP.handler(p>sock);监所到Ike连接信想和Ike协商倍£1处理函数PfkCyJiandlcrl);粒所的内核af_kcy发上来的信息处理函数(包含发起ikc协商等)i*kmp_h"ndler(h>sock上函数垠Ahfl要的近鼓站is;ikmp_mjiin(>sakmphandler(p->sock);()这个语故里面除了政累包有效性检森外,Ph1.main()第阶段曲机quickBlnainO此次阶段处理由数，这两个函数最求集.这两个函数内分别用了一个玳姿的铝构体：如下PhIeXChangeiH)整个racoon就钵这个站将体来进行协商.(可以说是应穿整个ra8on)staticint*ph1exchange21PHASE1ST_MA×)_PaStrUCtph1handle*,vchar_t*)-*error*/(O,0.).IdentityProtectionexchange!nostatcl.idcntjlscnd.nostatcl,idcnt_i2rccv,idcnt_i2scnd.identJ3rec