快捷導(dǎo)航

Linux策略性路由應(yīng)用

更新時間：2006年10月24日 00:00:00 作者：

策略性路由

　　策略性是指對于IP包的路由是以網(wǎng)絡(luò)管理員根據(jù)需要定下的一些策略為主要依據(jù)進行路由的。例如我們可以有這樣的策略：“所有來直自網(wǎng)A的包，選擇X路徑；其他選擇Y路徑”，或者是“所有TOS為A的包選擇路徑F；其他選者路徑K”。

　　Cisco 的網(wǎng)絡(luò)操作系統(tǒng) (Cisco IOS) 從11.0開始就采用新的策略性路由機制。而Linux是在內(nèi)核2.1開始采用策略性路由機制的。策略性路由機制與傳統(tǒng)的路由算法相比主要是引入了多路由表以及規(guī)則的概念。

　　多路由表（multiple Routing Tables）

　　傳統(tǒng)的路由算法是僅使用一張路由表的。但是在有些情形底下，我們是需要使用多路由表的。例如一個子網(wǎng)通過一個路由器與外界相連，路由器與外界有兩條線路相連，其中一條的速度比較快，一條的速度比較慢。對于子網(wǎng)內(nèi)的大多數(shù)用戶來說對速度并沒有特殊的要求，所以可以讓他們用比較慢的路由；但是子網(wǎng)內(nèi)有一些特殊的用戶卻是對速度的要求比較苛刻，所以他們需要使用速度比較快的路由。如果使用一張路由表上述要求是無法實現(xiàn)的，而如果根據(jù)源地址或其它參數(shù)，對不同的用戶使用不同的路由表，這樣就可以大大提高路由器的性能。

　　規(guī)則（rule）

　　規(guī)則是策略性的關(guān)鍵性的新的概念。我們可以用自然語言這樣描述規(guī)則，例如我門可以指定這樣的規(guī)則：

　　規(guī)則一：“所有來自192.16.152.24的IP包，使用路由表10，本規(guī)則的優(yōu)先級別是1500”

　　規(guī)則二：“所有的包，使用路由表253，本規(guī)則的優(yōu)先級別是32767”

　　我們可以看到，規(guī)則包含3個要素：

　　什么樣的包，將應(yīng)用本規(guī)則（所謂的SELECTOR，可能是filter更能反映其作用）；

　　符合本規(guī)則的包將對其采取什么動作（ACTION），例如用那個表；

　　本規(guī)則的優(yōu)先級別。優(yōu)先級別越高的規(guī)則越先匹配（數(shù)值越小優(yōu)先級別越高）。

　　策略性路由的配置方法

　　傳統(tǒng)的linux下配置路由的工具是route，而實現(xiàn)策略性路由配置的工具是iproute2工具包。這個軟件包是由Alexey Kuznetsov開發(fā)的。
這里簡單介紹策略性路由的配置方法，以便能更好理解第二部分的內(nèi)容。詳細的使用方法請參考Alexey Kuznetsov寫的 ip-cfref文檔。策略性路由的配置主要包括接口地址的配置、路由的配置、規(guī)則的配置。

　　接口地址的配置IP Addr

　　對于接口的配置可以用下面的命令進行：

Usage: ip addr [ add | del ] IFADDR dev STRING

　　例如：

router># ip addr add 192.168.0.1/24 broadcast 192.168.0.255 label eth0 dev eth0

　　上面表示，給接口eth0賦予地址192.168.0.1 掩碼是255.255.255.0(24代表掩碼中1的個數(shù))，廣播地址是192.168.0.255

　　路由的配置IP Route

　　Linux最多可以支持255張路由表，其中有3張表是內(nèi)置的：

　　表255 本地路由表（Local table）本地接口地址，廣播地址，已及NAT地址都放在這個表。該路由表由系統(tǒng)自動維護，管理員不能直接修改。

　　表254 主路由表（Main table）如果沒有指明路由所屬的表，所有的路由都默認都放在這個表里，一般來說，舊的路由工具（如route）所添加的路由都會加到這個表。一般是普通的路由。

　　表253 默認路由表（Default table）一般來說默認的路由都放在這張表，但是如果特別指明放的也可以是所有的網(wǎng)關(guān)路由。

　　表 0 保留

　　路由配置命令的格式如下：
Usage: ip route list SELECTOR
ip route { change | del | add | append | replace | monitor } ROUTE

　　如果想查看路由表的內(nèi)容，可以通過命令：

　　ip route list table table_number

　　對于路由的操作包括change、del、add 、append 、replace 、 monitor這些。例如添加路由可以用：

router># ip route add 0/0 via 192.168.0.4 table main
router># ip route add 192.168.3.0/24 via 192.168.0.3 table 1

　　第一條命令是向主路由表（main table）即表254添加一條路由，路由的內(nèi)容是設(shè)置192.168.0.4成為網(wǎng)關(guān)。

　　第二條命令代表向路由表1添加一條路由，子網(wǎng)192.168.3.0（子網(wǎng)掩碼是255.255.255.0）的網(wǎng)關(guān)是192.168.0.3。

　　在多路由表的路由體系里，所有的路由的操作，例如網(wǎng)路由表添加路由，或者在路由表里尋找特定的路由，需要指明要操作的路由表，所有沒有指明路由表，默認是對主路由表（表254）進行操作。而在單表體系里，路由的操作是不用指明路由表的。

　　規(guī)則的配置IP Rule

　　在Linux里，總共可以定義個優(yōu)先級的規(guī)則，一個優(yōu)先級別只能有一條規(guī)則，即理論上總共可以有條規(guī)則。其中有3個規(guī)則是默認的。命令用法如下：

　　首先我們可以看看路由表默認的所有規(guī)則：

0: from all lookup local
32766: from all lookup main
32767: from all lookup default

　　規(guī)則0，它是優(yōu)先級別最高的規(guī)則，規(guī)則規(guī)定，所有的包，都必須首先使用local表（254）進行路由。本規(guī)則不能被更改和刪除。

　　規(guī)則32766，規(guī)定所有的包，使用表main進行路由。本規(guī)則可以被更改和刪除。

　　規(guī)則32767，規(guī)定所有的包，使用表default進行路由。本規(guī)則可以被更改和刪除。

　　在默認情況下進行路由時，首先會根據(jù)規(guī)則0在本地路由表里尋找路由，如果目的地址是本網(wǎng)絡(luò)，或是廣播地址的話，在這里就可以找到合適的路由；如果路由失敗，就會匹配下一個不空的規(guī)則，在這里只有32766規(guī)則，在這里將會在主路由表里尋找路由;如果失敗，就會匹配32767規(guī)則，即尋找默認路由表。如果失敗，路由將失敗。重這里可以看出，策略性路由是往前兼容的。

　　還可以添加規(guī)則：

router># ip rule add [from 0/0] table 1 pref 32800
router >#ip rule add from 192.168.3.112/32 [tos 0x10] table ２ pref 1500 prohibit

　　第一條命令將向規(guī)則鏈增加一條規(guī)則，規(guī)則匹配的對象是所有的數(shù)據(jù)包，動作是選用路由表1的路由，這條規(guī)則的優(yōu)先級是32800。

　　第二條命令將向規(guī)則鏈增加一條規(guī)則，規(guī)則匹配的對象是IP為192.168.3.112，tos等于0x10的包，使用路由表2，這條規(guī)則的優(yōu)先級是1500，動作是。添加以后，我們可以看看系統(tǒng)規(guī)則的變化。

router># ip rule
0: from all lookup local
1500 from 192.168.3.112/32 [tos 0x10] lookup 2
32766: from all lookup main
32767: from all lookup default
32800: from all lookup 1

　　上面的規(guī)則是以源地址為關(guān)鍵字，作為是否匹配的依據(jù)的。除了源地址外，還可以用以下的信息：

　　From -- 源地址

　　To -- 目的地址（這里是選擇規(guī)則時使用，查找路由表時也使用）

　　Tos -- IP包頭的TOS（type of sevice）域

　　Dev -- 物理接口

　　Fwmark -- 防火墻參數(shù)

　　采取的動作除了指定表，還可以指定下面的動作：

　　　Table 指明所使用的表

　　　Nat 透明網(wǎng)關(guān)

　　　Action prohibit 丟棄該包，并發(fā)送 COMM.ADM.PROHIITED的ICMP信息

　　　Reject 單純丟棄該包

　　　Unreachable丟棄該包，并發(fā)送 NET UNREACHABLE的ICMP信息

策略性路由的應(yīng)用

　　基于源地址選路（ Source-Sensitive Routing）

　　如果一個網(wǎng)絡(luò)通過兩條線路接入互聯(lián)網(wǎng)，一條是比較快的ADSL，另外一條是比較慢的普通的調(diào)制解調(diào)器。這樣的話，網(wǎng)絡(luò)管理員既可以提供無差別的路由服務(wù)，也可以根據(jù)源地址的不同，使一些特定的地址使用較快的線路，而普通用戶則使用較慢的線路，即基于源址的選路。

　　根據(jù)服務(wù)級別選路（Quality of Service）

　　網(wǎng)絡(luò)管理員可以根據(jù)IP報頭的服務(wù)級別域，對于不同的服務(wù)要求可以分別對待對于傳送速率、吞吐量以及可靠性的有不同要求的數(shù)據(jù)報根據(jù)網(wǎng)絡(luò)的狀況進行不同的路由。

　　節(jié)省費用的應(yīng)用

　　網(wǎng)絡(luò)管理員可以根據(jù)通信的狀況，讓一些比較大的陣發(fā)性通信使用一些帶寬比較高但是比較貴的路徑一段短的時間，然后讓基本的通信繼續(xù)使用原來比較便宜的基本線路。例如，管理員知道，某一臺主機與一個特定的地址通信通常是伴隨著大量的陣發(fā)性通信的，那么網(wǎng)絡(luò)管理員可以安排一些策略，使得這些主機使用特別的路由，這些路由是按需撥號，帶寬比較高的線路，通信完成以后就停止使用，而普通的通信則不受影響。這樣既提高網(wǎng)絡(luò)的性能，又能節(jié)省費用。

　　負載平衡（Load Sharing）

　　根據(jù)網(wǎng)絡(luò)交通的特征，網(wǎng)絡(luò)管理員可以在不同的路徑之間分配負荷實現(xiàn)負載平衡。

　　Linux下策略性路由的實現(xiàn)--RPDB（Routing　Policy DataBase）

　　在Linux下，策略性路由是由RPDB實現(xiàn)的。對于RPDB的內(nèi)部機制的理解，可以加深對于策略性路由使用的理解。這里分析的是linux 2.4.18的RPDB實現(xiàn)的細節(jié)。主要的實現(xiàn)文件包括：

fib_hash.c
fib_rules.c
fib_sematic
fib_frontend.c
route.c

　　RDPB主要由多路由表和規(guī)則組成。路由表以及對其的操作和其對外的接口是整個RPDB的核心部分。路由表主要由table，zone，node這些主要的數(shù)據(jù)結(jié)構(gòu)構(gòu)成。對路由表的操作主要包含物理的操作以及語義的操作。路由表除了向IP層提供路由尋找的接口以外還必須與幾個元素提供接口：與用戶的接口（即更改路由）、proc的接口、IP層控制接口、以及和硬件的接口（網(wǎng)絡(luò)接口的改變會導(dǎo)致路由表內(nèi)容的改變）。處在RDPB的中心的規(guī)則，由規(guī)則選取表。IP層并不直接使用路由表，而是通過一個路由適配層,路由適配層提供為IP層提供高性能的路由服務(wù)。

　路由表（Fib Table）

　　數(shù)據(jù)結(jié)構(gòu)：

　　在整個策略性路由的框架里，路由表是最重要的的數(shù)據(jù)結(jié)構(gòu)，我們在上面以及對路由表的概念和結(jié)構(gòu)進行了清楚的說明。Linux里通過下面這些主要的數(shù)據(jù)結(jié)構(gòu)進行實現(xiàn)的。

主要的數(shù)據(jù)結(jié)構(gòu) 作用位置
struct fib_table 路由表 ip_fib.h 116
struct fn_hash 路由表的哈希數(shù)據(jù) fib_hash.c 104
struct fn_zone zone域 fib_hash.c 85
struct fib_node 路由節(jié)點 fib_hash.c 68
struct fib_info 路由信息 ip_fib.h 57
struct fib_result 路由結(jié)果 ip_fib.h 86

　　數(shù)據(jù)結(jié)構(gòu)之間的主要關(guān)系如下。路由表由路由表號以及路由表的操作函數(shù)指針還有表數(shù)據(jù)組成。這里需要注意的是，路由表結(jié)構(gòu)里并不直接定義zone域，而是通過一個數(shù)據(jù)指針指向fn_hash。只有當(dāng)zone里有數(shù)據(jù)才會連接到fn_zone_list里。

　　系統(tǒng)的所有的路由表由數(shù)組變量*fib_tables[RT_TABLE_MAX+1]維護，其中系統(tǒng)定義RT_TABLE_MAX為254，也就是說系統(tǒng)最大的路由表為255張，所有的路由表的操作都是對這個數(shù)組進行的。。同時系統(tǒng)還定義了三長路由表*local_table; *main_table。

　　路由表的操作：

　　Linux策略路由代碼的主要部分是對路由表的操作。對于路由表的操作，物理操作是直觀的和易于理解的。對于表的操作不外乎就是添加、刪除、更新等的操作。還有一種操作，是所謂的語義操作，語義操作主要是指諸如計算下一條的地址，把節(jié)點轉(zhuǎn)換為路由項，尋找指定信息的路由等。

　　1、物理操作(operation)：

　　路由表的物理操作主要包括如下這些函數(shù)：

路由標操作實現(xiàn)函數(shù) 位置
新建路由表
刪除路由表
搜索路由 fn_hash_lookup fib_hash.c 269
插入路由到路由表 fn_hash_insert fib_hash.c 341
刪除路由表的路由 fn_hash_delete
fn_hash_dump
fib_hash.c 433
fib_hash.c 614
更新路由表的路由 fn_hash_flush fib_hash.c 729
顯示路由表的路由信息 fn_hash_get_info fib_hash.c 750
選擇默認路由 fn_hash_select_default fib_hash.c 842

　　2、語義操作(semantics operation)：

　　語義操作并不涉及路由表整體框架的理解，而且，函數(shù)名也是不言自明的，所以請大家參考fib_semantics.c。

　　3、接口(front end)

　　對于路由表接口的理解，關(guān)鍵在于理解那里有

　　　IP

　　　首先是路由表于IP層的接口。路由在目前l(fā)inux的意義上來說，最主要的還是IP層的路由，所以和IP層的的接口是最主要的接口。和ip層的銜接主要是向IP層提供尋找路由、路由控制、尋找指定ip的接口。

Fil_lookup
ip_rt_ioctl fib_frontend.c 286;" f
ip_dev_find 145

　　　Inet

　　路由表還必須提供配置接口，即用戶直接操作路由的接口，例如增加和刪除一條路由。當(dāng)然在策略性路由里，還有規(guī)則的添加和刪除。

inet_rtm_delroute 351
inet_rtm_newroute 366
inet_check_attr 335

　　　proc

　　　在/proc/net/route里顯示路由信息。
　　　fib_get_procinfo

　　4、網(wǎng)絡(luò)設(shè)備（net dev event）

　　路由是和硬件關(guān)聯(lián)的，當(dāng)網(wǎng)絡(luò)設(shè)備啟動或關(guān)閉的時候，必須通知路由表的管理程序，更新路由表的信息。

fib_disable_ip 567
fib_inetaddr_event 575
fib_netdev_event

　　5、內(nèi)部維護（ magic）

　　上面我們提到，本地路由表（local table）的維護是由系統(tǒng)自動進行的。也就是說當(dāng)用戶為硬件設(shè)置IP地址等的時候，系統(tǒng)自動在本地路由表里添加本地接口地址以及廣播地址。

fib_magic 417
fib_add_ifaddr 459
fib_del_ifaddr 498

　　Rule

　　1、數(shù)據(jù)結(jié)構(gòu)

　　規(guī)則在fib_rules.c的52行里定義為 struct fib_rule。而RPDB里所有的路由是保存在101行的變量fib_rules里的，注意這個變量很關(guān)鍵，它掌管著所有的規(guī)則，規(guī)則的添加和刪除都是對這個變量進行的。

　　2、系統(tǒng)定義規(guī)則：

　　fib_rules被定義以后被賦予了三條默認的規(guī)則：默認規(guī)則，本地規(guī)則以及主規(guī)則。

u 本地規(guī)則local_rule
94 static struct fib_rule local_rule = {
r_next: &main_rule, /*下一條規(guī)則是主規(guī)則*/
r_clntref: ATOMIC_INIT(2),
r_table: RT_TABLE_LOCAL, /*指向本地路由表*/
r_action: RTN_UNICAST, /*動作是返回路由*/
};

u 主規(guī)則main_rule
86 static struct fib_rule main_rule = {
r_next: &default_rule,/*下一條規(guī)則是默認規(guī)則*/
r_clntref: ATOMIC_INIT(2),
r_preference: 0x7FFE, /*默認規(guī)則的優(yōu)先級32766*/
r_table: RT_TABLE_MAIN, /*指向主路由表*/
r_action: RTN_UNICAST, /*動作是返回路由*/
};
u 默認規(guī)則default rule
79 static struct fib_rule default_rule = {
r_clntref: ATOMIC_INIT(2),
r_preference: 0x7FFF,/*默認規(guī)則的優(yōu)先級32767*/
r_table: RT_TABLE_DEFAULT,/*指默認路由表*/
r_action: RTN_UNICAST,/*動作是返回路由*/
};

　　規(guī)則鏈的鏈頭指向本地規(guī)則。

　　RPDB的中心函數(shù)fib_lookup

　　現(xiàn)在到了討論RPDB的實現(xiàn)的的中心函數(shù)fib_lookup了。RPDB通過提供接口函數(shù)fib_lookup，作為尋找路由的入口點，在這里有必要詳細討論這個函數(shù)，下面是源代碼：，

310 int fib_lookup(const struct rt_key *key, struct fib_result *res)
311 {
312 int err;
313 struct fib_rule *r, *policy;
314 struct fib_table *tb;
315
316 u32 daddr = key->dst;
317 u32 saddr = key->src;
318
321 read_lock(&fib_rules_lock);
322 for (r = fib_rules; r; r=r->r_next) {/*掃描規(guī)則鏈fib_rules里的每一條規(guī)則直到匹配為止*/
323 if (((saddr^r->r_src) & r->r_srcmask) ||
324 ((daddr^r->r_dst) & r->r_dstmask) ||
325 #ifdef CONFIG_IP_ROUTE_TOS
326 (r->r_tos && r->r_tos != key->tos) ||
327 #endif
328 #ifdef CONFIG_IP_ROUTE_FWMARK
329 (r->r_fwmark && r->r_fwmark != key->fwmark) ||
330 #endif
331 (r->r_ifindex && r->r_ifindex != key->iif))
332 continue;/*以上為判斷規(guī)則是否匹配，如果不匹配則掃描下一條規(guī)則，否則繼續(xù)*/

335 switch (r->r_action) {/*好了，開始處理動作了*/
336 case RTN_UNICAST:/*沒有設(shè)置動作*/
337 case RTN_NAT: /*動作nat ADDRESS*/
338 policy = r;
339 break;
340 case RTN_UNREACHABLE: /*動作unreachable*/
341 read_unlock(&fib_rules_lock);
342 return -ENETUNREACH;
343 default:
344 case RTN_BLACKHOLE:/* 動作reject */
345 read_unlock(&fib_rules_lock);
346 return -EINVAL;
347 case RTN_PROHIBIT:/* 動作prohibit */
348 read_unlock(&fib_rules_lock);
349 return -EACCES;
350 }
351 /*選擇路由表*/
352 if ((tb = fib_get_table(r->r_table)) == NULL)
353 continue;
/*在路由表里尋找指定的路由*/
354 err = tb->tb_lookup(tb, key, res);
355 if (err == 0) {/*命中目標*/
356 res->r = policy;
357 if (policy)
358 atomic_inc(&policy->r_clntref);
359 read_unlock(&fib_rules_lock);
360 return 0;
361 }
362 if (err < 0 && err != -EAGAIN) {/*路由失敗*/
363 read_unlock(&fib_rules_lock);
364 return err;
365 }
366 }
368 read_unlock(&fib_rules_lock);
369 return -ENETUNREACH;
370 }

　　上面的這段代碼的思路是非常的清晰的。首先程序從優(yōu)先級高到低掃描所有的規(guī)則，如果規(guī)則匹配，處理該規(guī)則的動作。如果是普通的路由尋址或者是nat地址轉(zhuǎn)換的換，首先從規(guī)則得到路由表，然后對該路由表進行操作。這樣RPDB終于清晰的顯現(xiàn)出來了。

IP層路由適配（IP route）

　　路由表以及規(guī)則組成的系統(tǒng)，可以完成路由的管理以及查找的工作，但是為了使得IP層的路由工作更加的高效，linux的路由體系里，route.c里完成大多數(shù)IP層與RPDB的適配工作，以及路由緩沖（route cache）的功能。

　　調(diào)用接口

　　IP層的路由接口分為發(fā)送路由接口以及接收路由接口：

　　發(fā)送路由接口

　　IP層在發(fā)送數(shù)據(jù)時如果需要進行路由工作的時候，就會調(diào)用ip_route_out函數(shù)。這個函數(shù)在完成一些鍵值的簡單轉(zhuǎn)換以后，就會調(diào)用ip_route_output_key函數(shù)，這個函數(shù)首先在緩存里尋找路由，如果失敗就會調(diào)用ip_route_output_slow，ip_route_output_slow里調(diào)用fib_lookup在路由表里尋找路由，如果命中，首先在緩存里添加這個路由，然后返回結(jié)果。

ip_route_out route.h
ip_route_output_key route.c 1984;
ip_route_output_slow route.c 1690;"

　　接收路由接口

　　IP層接到一個數(shù)據(jù)包以后，如果需要進行路由，就調(diào)用函數(shù)ip_route_input，ip_route_input現(xiàn)在緩存里尋找，如果失敗則ip_route_inpu調(diào)用ip_route_input_slow， ip_route_input_slow里調(diào)用fib_lookup在路由表里尋找路由，如果命中，首先在緩存里添加這個路由，然后返回結(jié)果。

ip_route_input_slow route.c 1312;" f
ip_route_input route.c 1622;" f

　　cache

　　路由緩存保存的是最近使用的路由。當(dāng)IP在路由表進行路由以后，如果命中就會在路由緩存里增加該路由。同時系統(tǒng)還會定時檢查路由緩存里的項目是否失效，如果失效則清除。

您可能感興趣的文章: