作者: 耳朵里有風
本篇主要學習了Linux路由的基本概念和一些簡單操作,在下一篇中會結合Linux虛擬網絡、iptables和本篇的路由來實現在namespace中如何訪問局域網和互聯網。
路由概念
作為一個軟件行業半路出家的人,有一次去客戶現場辦公,帶的筆記本電腦上不了網,客戶就幫忙配置了ip和網關。從下圖可以看到要上網得配置四個東西,ip/子網掩碼、默認網關、DNS服務器;其中ip/子網掩碼是告訴網絡我計算機當前位置的,DNS服務器是告訴網絡要訪問的域名真實的ip地址的。網絡要找到某一臺服務器設備是根據IP來定位的,比如當在瀏覽器輸入域名 “www.baidu.com” 時,首先要詢問DNS服務器 “www.baidu.com”這個域名對應的ip地址是多少,然后再根據ip找到提供百度搜索的服務器設備。
那么這里配置的網關又是什么作用呢?我們知道互聯網兩臺機器直接通信是需要經過多個站點的,比如訪問百度時,首先將請求發給第一個站點,也就是配置的網關,網關在接收到請求后,再把請求轉給下一個網關,一直到請求達到目標機器結束。
網關并不是具體的某個設備,它是指用來連接不同的網關設備的一個網絡層概念, 比如可以由路由器來實現網關的功能,也可以是三層交換機,甚至也可以直接使用Linux服務器實現。
上面這些都在講網關,理解網關之后,再來看什么是路由,還是看圖2,一個請求從PC到最終的服務器需要經過層層網關,那請求走的 “網關1-網關2-服務器” 還是“網關1-網關3-服務器”的呢?是了,決定一個請求所走的路線就是我理解的路由。常用到的路由器設備就是用來判斷把網關1的請求是轉給網關2還是網關3。從整個網絡來看路由決定著請求的走向,下面具體來看一看Linux的路由功能。
Linux的路由功能
當提到路由決定請求走向,如果你看過 Docker網絡學習第二篇-認識iptables就會知道iptables 里nat表和FORWARD鏈其實也是決定請求走向的,除了iptables之外,Linux系統在IP層維護了路由表來實現路由功能。可以使用ip route命令來操作路由(也可以使用net-tools的route命令)。
[root@2030-edu-01-no ~]# ip route show
default via 172.31.131.1 dev eth0
10.1.1.0/24 dev bridge0 scope link
169.254.0.0/16 dev eth0 scope link metric 1002
172.17.0.0/16 dev docker0 scope link
172.18.0.0/16 dev br-40a246442710 scope link
172.31.131.0/24 dev eth0 proto kernel scope link src 172.31.131.49
[root@2030-edu-01-no ~]#
路由表
從Linux-2.2開始,內核把路由歸納到許多路由表中,這些表都進行了編號,編號數字的范圍是1到255。另外,為了方便,還可以在/etc/iproute2/rt_tables中為路由表命名。默認情況下,路由使用的是MAIN表(編號254)中, 主要用于各類網絡ip地址的轉發。除了MAIN表外,常用表還有用于本地網絡接口之間的數據轉發(配置設備是會自動創建)的LOCAL表(編號255)。上面一段代碼是用ip route show 命令查看main表的所有條目(等效于ip route show table main或ip route show table 254)。如果要查看所有表條目,就可以使用 ip route show table all 命令。
路由條目
每個條目有著不同的要素,包括:
-
目的地址(Destination):就是請求要到達的地址,比如請求10.1.1.2這臺服務,就會走
10.1.1.0/24 dev bridge0 scope link這條路由,因為10.1.1.2 是在10.1.1.0/24這個網段中的。 - dev: 網絡設備,比如請求10.1.1.2這臺服務,就會經過bridge0 這臺設備。
- scope: 常用包括三種
host, 表示該地址只用于主機的內部通信。例如:127.0.0.1
link, 表示地址只在局域網內部有意義(鏈路層互聯),如子網廣播地址
global,表示地址可以在任何地方使用,也是默認的scope - src:源地址,通常進程請求時會綁定源地址,如果沒有綁定的話就是使用路由中src指定的地址
- proto: kernel, boot,static,NUMBER, 信息項,表示誰創建的,如
proto boot表示該條目是啟動過程安裝的路由 - metric: 為路由指定所需躍點數的整數值, 當有兩個及以上的路由都匹配上請求,選擇metric相對較小的走。
- type: 路由類型,unicast ,local, broadcast ,multicast , throw,unreachable ,prohibit , blackhole, nat
| 類型 | 說明 |
|---|---|
| unicast | 該類型路由描述到目的地址的真實路徑 |
| local | 目的地址被分配給本機,數據包通過回環被投遞到本地 |
| broadcast | 目的地址是廣播地址,數據包作為鏈路廣播發送。 |
| multicast | 使用多播路由。在普通的路由表中,這種路由并不存在。 |
| throw | 如果選擇了這種路由,就會認為沒有發現路由,在這個表中的查詢就會被終止,并產生ICMP信息net unreachable。本地發送者會返回ENETUNREACH錯誤。 |
| unreachable | 目的地址是不可達的。如果發過去的數據包都被丟棄并且收到ICMP信息host unreachable,目的地址就會被標記為不可達。在這種情況下,本地發送者將返回EHOSTUNREACH錯誤。 |
| prohibit | 路由是不可達的。發過去的數據包都被丟棄,而且產生ICMP信息communication administratively prohibited 。本地發送者會返回EACCESS錯誤。 |
| blackhole | 目的地址不可達,而且發過去的數據包都被丟棄。在這種情況下,本地發送者將返回EINVAL錯誤。 |
| nat | 特定的NAT路由。目標地址屬于啞地址(或者稱為外部地址),在轉發前需要進行地址轉換。 |
-
下一個路由:就是請求經過這條路由之后,接下來往哪去, 可以是下一個網關,也可能是具體的某個設備接口。比如
default via 172.31.131.1 dev eth0via指定的地址172.31.131.1(下一個網關)。 如果你用 'route -n' (需要安裝net-tools) 查看,就是Gateway字段值。
[root@2030-edu-01-no ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.31.131.1 0.0.0.0 UG 0 0 0 eth0
- 標志(Flags):標記目標地址類型,下一個路由類型等。
U (route is up):該路由是啟動的;
H (target is a host):目標是一部主機 (IP) 而非網段;
G (use gateway):需要透過外部的主機 (gateway) 來轉遞封包(該行有gw);
R (reinstate route for dynamic routing):使用動態路由時,恢復路由資訊的旗標;
D (dynamically installed by daemon or redirect):已經由服務或轉 port 功能設定為動態路由
M (modified from routing daemon or redirect):路由已經被修改;
! (reject route):這個路由將不會被接受(用來抵擋不安全的網域!)
A (installed by addrconf)
C (cache entry)
路由條目還是比較復雜的,以上只列出了部分屬性,如果再后續文章具體涉及,再另行解釋。使用ip -d route show (-d detail) 查看第一條結果是 unicast default via 172.31.131.1 dev eth0 proto boot scope global default 表示默認路由,意思是當沒有找到合適的路由時, 就使用該條。比如在訪問百度時,由于沒有合適的路由,就會走第一條,將請求發送給 172.31.131.1這個網關。
參考資料
1、https://zhuanlan.zhihu.com/p/43279912
2、https://blog.csdn.net/liuqun69/article/details/88888612
