linux路由協(xié)議網(wǎng)絡(luò)協(xié)議棧

邁普學(xué)習(xí)總結(jié)經(jīng)過(guò)在公司里學(xué)習(xí)了幾個(gè)月,把大體的工作總結(jié)于下：在參加１８00—203G路由的開(kāi)發(fā)中，我參加了ｌ2tp,ｇｒe，靜態(tài)路由,ipｓｅc，日志關(guān)鍵信息提取的編寫(xiě)。并同時(shí)參加了ipsｅｃ－tools源碼，ｌinuｘkernｅl網(wǎng)絡(luò)協(xié)議棧源碼，l2tｐd源碼分析。并且同時(shí)了解了vrrp,rｉp等協(xié)議.Ｌ２ＴＰ模塊:Ｌ２tp代碼流程：連接請(qǐng)求連接請(qǐng)求lｎslaｃlｎslaｃ連接成功ｌnｓlac連接成功ｌnｓlacPpp連接請(qǐng)求ｌｎｓlａcPpp連接請(qǐng)求ｌｎｓlａcPPpp允許連接協(xié)商lｎsｌaclｎsｌacPｐp配置文件ｌｎslａｃPｐp配置文件ｌｎslａｃPpｐ配置文件lｎsｌacPpｐ配置文件lｎsｌacPpp配置ＡCKｌnslacPpp配置ＡCKｌnslacPpp配置ACKlｎslａｃPpp配置ACKlｎslａｃPpp認(rèn)證ｌnslacPpp認(rèn)證ｌnslacncp網(wǎng)絡(luò)配置lnslacncp網(wǎng)絡(luò)配置lnslac接受ncp網(wǎng)絡(luò)配置ｌｎslac接受ncp網(wǎng)絡(luò)配置ｌｎslacAＣＫlaｃlnsAＣＫlaｃlns其中認(rèn)證過(guò)程分為pap和cｈap認(rèn)證:Pap認(rèn)證：認(rèn)證信息ｌnslac認(rèn)證信息ｌnslac通過(guò)認(rèn)證lnslａｃ通過(guò)認(rèn)證lnslａｃChａp認(rèn)證:發(fā)送加密數(shù)據(jù)，使LAＣ認(rèn)證lnsｌac發(fā)送加密數(shù)據(jù)，使LAＣ認(rèn)證lnsｌac認(rèn)證信息lｎslａc認(rèn)證信息lｎslａc通過(guò)認(rèn)證lnｓ通過(guò)認(rèn)證lnｓｌacｌac大體過(guò)程應(yīng)該是這樣的,中間也許有錯(cuò)，主要是記不大清楚了。Ｐppd向內(nèi)核注冊(cè)過(guò)程如下圖：ｉnternetｉnternet路由器lnｓ路由器laｃ路由器lnｓ路由器laｃ內(nèi)網(wǎng)２內(nèi)網(wǎng)１拓?fù)鋱D:內(nèi)網(wǎng)２內(nèi)網(wǎng)１做lac的路由器通過(guò)撥號(hào)到lｎｓ,通過(guò)上面的連接認(rèn)證后,ｌｎs會(huì)給lａc安排一個(gè)私有ｉp地址，該Ｉｐ地址可以和2通信。通過(guò)這個(gè)過(guò)程后，久可以讓內(nèi)網(wǎng)1的pc訪問(wèn)內(nèi)網(wǎng)2的pc.Gre模塊:inｔｅｒnet路由器內(nèi)網(wǎng)２路由器內(nèi)網(wǎng)1模型：inｔｅｒnet路由器內(nèi)網(wǎng)２路由器內(nèi)網(wǎng)1開(kāi)頭的時(shí)候，內(nèi)網(wǎng)1和內(nèi)網(wǎng)2是不能相互到達(dá)的,由于中間有很多中間網(wǎng)絡(luò).當(dāng)建立好GRE隧道后，內(nèi)網(wǎng)１就可以和內(nèi)網(wǎng)2通信了。實(shí)現(xiàn)：GRE腳本主要通過(guò)ｉproute2這個(gè)工具實(shí)現(xiàn)。使用的主要腳本命令：?Iproｕteadd＄ｎａmeｍoｄegrｅremｏte＄remoteiplｏcaｌ＄ｌoｃalｉｐttl2５5?Ｉpｒｏuteset＄ｎaｍeup?Iproｕtｅaｄｄｎet＄nｅt／$ｍaｓkdev$nａme腳本流程：腳本從ｌuａ保存的配置文件中獵取到上面的變量值，然后通過(guò)以上指令,將變量值設(shè)置到相應(yīng)的隧道中。責(zé)任:主要擔(dān)當(dāng)gre模塊的測(cè)試(與lｉnｕx)。DDＮS模塊：原理:ＤDNS又叫動(dòng)態(tài)域名解析。有用環(huán)境是在用戶(hù)動(dòng)態(tài)獵取ＩP地址的情況下。由于傳統(tǒng)的ＤNS只能與固定IP地址綁定，一旦IＰ地址發(fā)生變化，相應(yīng)的域名將不能解析到變換后的IP地址上.然后DDNS轉(zhuǎn)變了這一點(diǎn).它以動(dòng)態(tài)域名綁定的方式來(lái)完成這一點(diǎn)。什么叫動(dòng)態(tài)域名呢？就是指在用戶(hù)的ＩP地址發(fā)生轉(zhuǎn)變時(shí),相應(yīng)的DDNＳ客戶(hù)端會(huì)把自己現(xiàn)在的變化后的ＩP地址傳給DDＮS服務(wù)器，告知它自己的IP地址已經(jīng)發(fā)生變化，需要服務(wù)器將以前綁定域名的ＩP換成現(xiàn)在變化后的IP地址。如果內(nèi)部在加上端口映射，那么久可以實(shí)現(xiàn)路由器內(nèi)部的主機(jī)間接與DＮＳ綁定，即其他人通過(guò)域名就能訪問(wèn)的內(nèi)網(wǎng)的某臺(tái)計(jì)算上的服務(wù)器。責(zé)任：DＤＮS的測(cè)試。靜態(tài)路由模塊：原理：舉個(gè)例子，當(dāng)一個(gè)路由器剛接入到一個(gè)網(wǎng)絡(luò)中時(shí),在這個(gè)陌生的環(huán)境中,它根本不知道去某個(gè)地址該怎么走，靜態(tài)路由就相當(dāng)于一個(gè)指路人，它告知路由器某個(gè)IP地址該怎么走。配置的時(shí)候,只需要告知路由器到達(dá)某個(gè)網(wǎng)絡(luò)需要從哪張網(wǎng)卡和相應(yīng)網(wǎng)卡出去的網(wǎng)關(guān)地址就可以了.這樣凡是到那個(gè)網(wǎng)絡(luò)的IP數(shù)據(jù)包，路由器都會(huì)將它從相應(yīng)網(wǎng)卡轉(zhuǎn)發(fā)出去(ttｌ－１）。它并不關(guān)心數(shù)據(jù)包能否真正的到達(dá)。實(shí)現(xiàn)：簡(jiǎn)略命令：rｏuｔｅaｄd–nｅt＄neｔmask＄neｔmaskgw＄gatｅwaydeｖ$ｄｅｖice責(zé)任:靜態(tài)路由的腳本的基本框架.Ｉpsec模塊:原理：在內(nèi)核2．6版本中已經(jīng)存在ipsｅc模塊,該模塊的主要作用是讓數(shù)據(jù)包經(jīng)過(guò)加密/認(rèn)證從平安的隧道中到達(dá)指定的目標(biāo)地址。它的有幾種數(shù)據(jù)包格式,一種是esp,一種是ａｈ，另一種是eｓp+ah.他們的報(bào)文格式如下:Ａh是一種用于認(rèn)證報(bào)文，它主要是給數(shù)據(jù)包供應(yīng)認(rèn)證,防重放；ESP是一種用于加密報(bào)文,當(dāng)然它也有認(rèn)證的功能,并且也具有抗重放的機(jī)制。它是一種更優(yōu)越于AH的報(bào)文結(jié)構(gòu).另外,ｅsp＋aｈ則是一種集esp和ah于一身的格式，當(dāng)然它的平安性就更不行否認(rèn)了。整個(gè)模塊分為兩大類(lèi)：第一類(lèi),keｒneｌiｐseｃ的實(shí)現(xiàn)，其次類(lèi)上層應(yīng)用程序iｋe即為ipｓec模塊協(xié)商認(rèn)證算法和加密算法的協(xié)議。下面談?wù)刬ke協(xié)議.Ikｅ協(xié)議分為兩個(gè)階段,第一階段協(xié)商對(duì)對(duì)方的身份進(jìn)行認(rèn)證,并且為其次階段的協(xié)商供應(yīng)一條平安牢靠的通道。第一個(gè)階段又分為３種模式，我們常用的有兩種模式，一個(gè)是主模式，一個(gè)是樂(lè)觀模式。其次階段主要對(duì)IPSEC的平安性能進(jìn)行協(xié)商，產(chǎn)生真正可以用來(lái)加密數(shù)據(jù)流的密鑰。主模式(IKESＡ階段）：安全提議,轉(zhuǎn)換載荷，一些詳情接收端安全提議,轉(zhuǎn)換載荷，一些詳情接收端發(fā)起端發(fā)起端安全提議，轉(zhuǎn)換載荷，一些詳情接收端發(fā)起端安全提議，轉(zhuǎn)換載荷，一些詳情接收端發(fā)起端ＤH算法產(chǎn)生公共密鑰，密鑰交換接收端發(fā)起端ＤH算法產(chǎn)生公共密鑰，密鑰交換接收端發(fā)起端DH算法產(chǎn)生公共密鑰，密鑰交換接收端發(fā)起端DH算法產(chǎn)生公共密鑰，密鑰交換接收端發(fā)起端加密ID,進(jìn)行身份認(rèn)證接收端發(fā)起端加密ID,進(jìn)行身份認(rèn)證接收端發(fā)起端加密ID，進(jìn)行身份認(rèn)證接收端發(fā)起端加密ID，進(jìn)行身份認(rèn)證接收端發(fā)起端以上過(guò)程中包含驗(yàn)證信息，我就沒(méi)格外指出了.簡(jiǎn)略參見(jiàn)如下:發(fā)送cｏckiｅ包,用來(lái)標(biāo)識(shí)唯一的一個(gè)ＩＰＳEC會(huì)話。IKE階段一（主模式)：發(fā)送消息1

initｉaｔoｒ＝＝==〉rｅｓｐonｓor?

ｉsａkmpｈeader?

ｓａｐayｌｏaｄ?

proposaｌpayloaｄ?

trａnsfｏrmpaylｏａd

定義一組策略:?

加密方法:DＥS?

認(rèn)證身份方法:預(yù)共享密鑰?

認(rèn)證散列:MD5?

存活時(shí)間:8640０秒?

Diffｉe-Hellmaｎgroup:1ＩＫＥ階段二(主模式）：發(fā)送消息2

inｉｔｉator〈=＝＝=resｐoｎsor

同上IＫＥ階段三(主模式)：發(fā)送消息３

inｉｔiaｔｏｒ=＝=＝＞respｏnsor?

通過(guò)ＤＨ算法產(chǎn)生共享密鑰?

KE（KｅｙEｘcｈang)Ｐａyloaｄ?

nonｃe(臨時(shí)）ＰａｙlｏａdDＨ算法：

A：

Ｐ(較大的質(zhì)數(shù))

Ｂ：Ｐ(較大的質(zhì)數(shù))?

G

Ｇ

PriＡ（隨機(jī)產(chǎn)生）

ＰrｉB（隨機(jī)產(chǎn)生）

?

PｕbＡ=G＾PriAmodP

ＰｕbＢ=Ｇ^PｒｉBmodP?

交換PｕbA和PuｂB?

Z=ＰuｂB^ＰriＡmodP

Ｚ=PｕbA^ＰriBmodP

Z就是共享密鑰，兩個(gè)自我產(chǎn)生的Z應(yīng)相同,它是用來(lái)產(chǎn)生3個(gè)ＳＫEYＩD的素材.IKE階段四(主模式）:發(fā)送消息4

initiａt(yī)oｒ〈===＝rｅsｐoｎｓor?

同上?

主模式第3、４條消息其實(shí)就是DH算法中需要交換的幾個(gè)參數(shù),然后路由器再通過(guò)ＤH算法計(jì)算出的公共密鑰計(jì)算出以下3個(gè)參數(shù)(這是在發(fā)送第5、6個(gè)消息前完成的):?

SＫEＹI(mǎi)D_d:留在在其次階段用，用來(lái)計(jì)算后續(xù)的IKE密鑰資源；?

ＳKＥＹＩＤ＿a:散列預(yù)共享密鑰,供應(yīng)IKE數(shù)據(jù)完整性和認(rèn)證;?

SＫＥYＩＤ_e：用來(lái)加密下一階段的messａge,ｄata，ｐｒeｓｈａｒｅｄｋｅｙ，包括其次階段.ＩKE階段五（主模式):發(fā)送消息5

ｉniｔｉator==＝＝〉reｓpｏnsｏr?

IｄenｔｉｔｙＰaｙload:用于身份標(biāo)識(shí)?

ＨasｈPａyload：用來(lái)認(rèn)證?

以上2個(gè)負(fù)載都用ＳＫEYID＿e加密IKE階段六（主模式）：發(fā)送消息6

iｎitiａｔoｒ<=＝＝=resｐｏｎｓｏr?

同上?

消息５、6是用來(lái)驗(yàn)證對(duì)等體身份的。至此IKE協(xié)商第一階段完成。主要會(huì)發(fā)送6個(gè)報(bào)文,由于最后一組報(bào)文發(fā)送的是身份，此時(shí)身份已經(jīng)加密，因此，只能采納地址進(jìn)行認(rèn)證，但其平安性高于樂(lè)觀模式。缺點(diǎn)是耗時(shí)比樂(lè)觀模式長(zhǎng)。樂(lè)觀模式：所有轉(zhuǎn)換載荷,加密材料,提議，DH，ID等所有轉(zhuǎn)換載荷,加密材料，提議，DH,IＤ等接收端發(fā)起端所有轉(zhuǎn)換載荷,加密材料,提議，DH，ID等所有轉(zhuǎn)換載荷,加密材料，提議，DH,IＤ等接收端發(fā)起端所有轉(zhuǎn)換載荷,加密材料，提議,DＨ，ID等接收端發(fā)起端所有轉(zhuǎn)換載荷,加密材料，提議,DＨ，ID等接收端發(fā)起端驗(yàn)證成功接收端發(fā)起端驗(yàn)證成功接收端發(fā)起端主要發(fā)送３個(gè)報(bào)文，平安性沒(méi)有主模式好，由于其ID不加密，因此可用于移動(dòng)客戶(hù)端模式.即不用地址作為ID。優(yōu)點(diǎn)：速度快，缺點(diǎn)平安性不高。其次階段快速模式（IPSｅｃＳA階段)：所有二階段參數(shù),提議,算法等接收端發(fā)起端所有二階段參數(shù),提議,算法等接收端發(fā)起端所有二階段參數(shù),提議，算法等接收端發(fā)起端所有二階段參數(shù),提議，算法等接收端發(fā)起端驗(yàn)證成功接收端發(fā)起端驗(yàn)證成功接收端發(fā)起端以上過(guò)程中包含驗(yàn)證信息（最開(kāi)頭如果支持PFS算法，那么還要協(xié)商ＤH算法),我就沒(méi)格外指出了.簡(jiǎn)略參見(jiàn)如下：

首先推斷是否啟用了ＰFS（完善轉(zhuǎn)發(fā)平安）,若啟用了則重新進(jìn)行ＤH算法產(chǎn)生密鑰，若沒(méi)有啟用則是用第一階段的密鑰。ＩＰSｅｃ階段一(快速模式）:發(fā)送消息1

ｉｎｉｔiaｔｏr=＝==>respoｎsｏr

同樣定義一組策略,連續(xù)用SKEYIＤ_ｅ加密：

Eｎcapsuｌation—EＳＰ

Ｉｎtegritycheｃkｉnｇ—SＨA—ＨMAC

DＨｇrouｐ—2

Modｅ—TunｎeｌＩＰSec階段二(快速模式)：發(fā)送消息２

iniｔiatoｒ〈＝=＝＝rｅsｐonｓor

同上，主要是對(duì)消息1策略的一個(gè)確認(rèn)。

在發(fā)送消息3前，用SＫEYID_d，DH共享密鑰,SＰI等產(chǎn)生真正用來(lái)加密數(shù)據(jù)的密鑰。IＰSｅc階段三(快速模式):發(fā)送消息3

initｉａt(yī)oｒ＝＝＝=〉rｅsｐonsor

用來(lái)核實(shí)rｅspｏnsoｒ的lｉvenｅss.

至此，整個(gè)IPSec協(xié)商的兩個(gè)過(guò)程已經(jīng)完成，兩端可以進(jìn)行平安的數(shù)據(jù)傳輸。實(shí)現(xiàn):ｉke協(xié)議我們主要是通過(guò)利用開(kāi)源軟件ipsｅｃ—ｔooｌｓ來(lái)實(shí)現(xiàn)的.責(zé)任：負(fù)責(zé)ipsｅc的代碼BUG解決(BUG數(shù)量多，就不列出了),ipsｅc的證書(shū)申請(qǐng)腳本編寫(xiě)（討論了oｐenｓsl)。Ｉpseｃ－tools流程：eaｙ＿ｉniｔ(）；//oｐenｓlｌ初始化iniｔlcconf(）;／/本地配置文件初始化initrｍcｏnｆ(）;//遠(yuǎn)端配置文件初始化oaklｅy_dhinit（);//dh算法初始化coｍpute_vendorｉｄs（）；／/ｄｐｄparse（ac，av）;//傳進(jìn)來(lái)的參數(shù)分析ploｇiｎit(）；//本地日志初始化ｐfｋｅｙ_init(）／／內(nèi)核接口aｆ＿kｅy初始化，主要是向內(nèi)核注冊(cè)isａkmｐ_cfg＿ｉｎiｔ（ISAKMP_ＣFG_INＩＴ＿ＣＯLD））//iｓakmｐ配置初始化cfparse()；//配置文件分析,別且賦值給相應(yīng)結(jié)構(gòu)體ｓeｓsｉoｎ（）;//主要會(huì)話下面是seｓsion函數(shù)里面的實(shí)現(xiàn)：sｃｈed＿init（）；//調(diào)度初始化ｉnｉｔ_sｉｇｎal(）；//信號(hào)初始化admｉn_ｉniｔ()//和setkｅy,racoｏnctｌ的連接口初始化initmｙadｄr（）;//初始化本地地址iｓakmp_inｉt（）／/ｉsaｋmp初始化initfｄｓ（）;/／初始化ｓeleｃt的套接字natt＿keｅpaｌｉve_ｉnit（)；//初始化nａt(yī)協(xié)商的相關(guān)內(nèi)容ｆｏｒ(ｉ＝0；ｉ＜=NSＩＧ;ｉ＋＋）／/信號(hào)的相應(yīng)保存變量初始化??sigｒeq［i］＝０；chｅｃk_sigrｅq()；／/檢測(cè)是否收到有信號(hào)eｒror=selｅｃｔ（ｎｆｄs,&rfｄs,(ｆd_set＊）0，（fｄ_ｓet*)0,timeoｕｔ)；//多路監(jiān)聽(tīng)admin_haｎｄｌｅｒ（）；/／監(jiān)聽(tīng)到sｅtｋey和ｒaｃoonｃtl的fd觸發(fā),調(diào)用該函數(shù)處理isakmｐ＿h(yuǎn)andｌer(p－＞socｋ)；/／監(jiān)聽(tīng)到iｋｅ連接信息和ｉｋe協(xié)商信息處理函數(shù)ｐfkeｙ_handler(）；//監(jiān)聽(tīng)的內(nèi)核af_kｅy發(fā)上來(lái)的信息處理函數(shù)(包含發(fā)起iｋe協(xié)商等)isakｍｐ_hａｎdlｅｒ(p—〉sｏck)；函數(shù)里最重要的函數(shù)是iｓakmｐ_ｍaｉｎ（)isaｋｍp_ｈanｄler(p—>ｓocｋ);()這個(gè)函數(shù)里面除了數(shù)據(jù)包有效性檢查外,pｈ１＿main（）第一階段函數(shù)，quick_mａin()其次階段處理函數(shù),這兩個(gè)函數(shù)最重要.這兩個(gè)函數(shù)內(nèi)分別用了一個(gè)重要的結(jié)構(gòu)體：如下ｐh1ｅｘchangｅ[]［］整個(gè)rａcｏｏｎ就靠這個(gè)結(jié)構(gòu)體來(lái)進(jìn)行協(xié)商。(可以說(shuō)是貫穿整個(gè)raｃｏon）ｓtａt(yī)ｉｃiｎｔ(＊ph１ｅxcｈａｎｇe[］[2］［PHＡSE1ST＿M(jìn)ＡX]）?＿_(dá)P（（sｔrｕcｔpｈ１ｈａｎdle＊，vchａr＿ｔ*))=｛/＊error＊／{{｝，｛},},/＊IｄeｎｔｉｔｙPrｏteｃtioneｘchａnｇｅ＊／{{nostate1，iｄenｔ＿i1ｓeｎｄ,nostate1，ｉdeｎt_ｉ2ｒｅｃv，ｉｄenｔ_i2sｅｎd，ident_ｉ3reｃv，iｄｅnt_i3ｓend，ｉdｅｎｔ＿i4recｖ，idｅnt_i4ｓend，noｓtaｔｅ１，｝，｛ｎosｔate1，iｄeｎt_r１recv，idｅnｔ＿r1sｅｎd，ｉdent＿r2rｅcｖ，iｄｅnt＿r2ｓeｎd，ident＿r3recｖ,iｄent＿ｒ3sｅｎd，noｓtate1，ｎoｓｔaｔe1,ｎｏsｔａｔe1，｝,｝,/＊Aｇgｒeｓｓivｅe(cuò)xchａngｅ*/{｛nostate1,agｇ_i1sｅｎd,nｏstａｔｅ1,agｇ_ｉ2recv，agg＿i2ｓｅｎd，ｎｏstate１，noｓｔate1,nosｔate１,nostate1，nｏsｔate１,}，{ｎｏｓtａt(yī)e1,agｇ＿r１ｒecｖ，aｇg_r1seｎｄ,ａｇg_ｒ２ｒecｖ，aｇg＿ｒ2send，noｓtate１,ｎｏstate１，ｎoｓtatｅ1，ｎostaｔｅ1,noｓtate1，｝,},/*Bａｓeeｘｃhange＊/{{ｎｏｓtate１，ｂase_i1send，nｏstate１,baｓe_i２recｖ，base＿i２senｄ，bａｓe_ｉ３rｅｃv，base_ｉ３ｓｅnｄ，nｏstａt(yī)e1,ｎoｓtate1,ｎostaｔe１，｝，｛noｓtａt(yī)e1，ｂase_ｒ1ｒecｖ,bａse_r1ｓend，ｂase_r2rｅcv，ｂase_r2ｓｅnd，nostate1,ｎostatｅ1,ｎostａt(yī)e1，nostａｔe1,ｎｏsｔate1,}，｝，｝;可以看的到上面有第一階段有三個(gè)模式的發(fā)送和接受函數(shù)（main,Aｇｇｒｅｓsive，bａse）；其中有每一個(gè)模式下的交互消息一個(gè)函數(shù)。同時(shí)也有驗(yàn)證函數(shù)。如果熟識(shí)幾種模式的發(fā)包流程，信任通過(guò)函數(shù)定義的名字就可以輕松知道函數(shù)是干嘛用的了。（注意存在狀態(tài)推斷函數(shù)，發(fā)送和接收函數(shù),每個(gè)階段都不同)以上函數(shù)會(huì)在ph1_mａin()調(diào)用,在ｐfkey＿h(yuǎn)ａｎdler（)調(diào)用的則是協(xié)商發(fā)起方。sｔａｔｉｃinｔ（＊pｈ２excｈanｇe［][２］[PHASE2SＴ_ＭＡX］)?__P（（ｓｔｒuｃｔｐh2ｈaｎdlｅ＊,vｃｈar＿t*））＝{／*eｒror＊／｛{｝,｛},｝，／＊QuiｃｋmｏdeforIＫＥ＊/｛｛ｎｏstate2，nosｔate２，ｑuiｃk＿ｉ１pｒep,nosｔate２,qｕiｃk＿i1sｅnd,ｑｕick_i2recv，quiｃk＿i2ｓend，ｑｕiｃｋ_i3rｅcv，nostaｔe2,ｎostate2，｝,{ｎosｔａｔｅ2，qｕick_r１recｖ,qｕick_r1preｐ，nostate2，ｑuｉck＿r２send,quick_r3rｅcv,ｑuｉck＿r3prｅｐ，quick_r3ｓeｎｄ，ｎostａt(yī)e2，nｏsｔate2，}｝,｝；可以看到上面的其次階段即快速模式下的發(fā)送和接受函數(shù),這些函數(shù)就是ｉkｅ其次階段協(xié)商使用的。其中有二階段的每個(gè)包的發(fā)送和接受，狀態(tài)函數(shù).簡(jiǎn)略是怎么實(shí)現(xiàn)的請(qǐng)參看相應(yīng)的源代碼。以上的ph２haｎｄlｅ會(huì)在，quiｃｋ＿ｍaiｎ(）中調(diào)用。各個(gè)處理方法和流程參考代碼就可以了。這就是也許流程，其中可能會(huì)涉及到opｅnssl編碼問(wèn)題（第一階段的算法為二階段的傳遞信息編碼）。日志分析：編寫(xiě)選出特定信息的腳本。通過(guò)ａwk的傳參和讓AWK進(jìn)行處理。Lｉｎuxｋeｒneｌ網(wǎng)絡(luò)協(xié)議棧流程:LIＮKIｐ_reｃｖ（）LIＮKIｐ_reｃｖ（）IＰ包頭有效性檢查ＩPhｅadｅrｃheckIＰ包頭有效性檢查ＩPhｅadｅrｃheck主要改變Mark，ｔos，ttl主要改變Mark，ｔos，ttlManagle（PＲＥRＯＵTING）整個(gè)路由抉擇可以過(guò)濾多播或組播通過(guò)找到的策略調(diào)用相關(guān)SA封裝ＩＰSＥC數(shù)據(jù)包整個(gè)路由抉擇可以過(guò)濾多播或組播通過(guò)找到的策略調(diào)用相關(guān)SA封裝ＩＰSＥC數(shù)據(jù)包ＮＡT(PRＥROＵTEING）ＮＡT(PRＥROＵTEING）ＤＮAＴＤＮAＴDe_fｒａｇｍeｎｔDe_fｒａｇｍeｎｔＲouteｄecisｉonＯutpuｔ＿ｒouｔｅIＯutpuｔ＿ｒouｔｅIｎｐuｔ_routeＯｕpuｔ_ｒoｕte接受包過(guò)濾M接受包過(guò)濾Maｎａglｅ（ＩNPUT)安全路由檢查,查找路由表(包括查找IＰSEＣ策略）Ｆilｔｅｒ（ＩＮＰUＴ)安全路由檢查,查找路由表(包括查找IＰSEＣ策略）Ｆilｔｅｒ（ＩＮＰUＴ)Ｓoｍe_checkＳoｍe_check包括本機(jī)IＰＳEC數(shù)據(jù)包處理，或tcp，udｐ，iｃmｐ等Tｒansfer（tcp,udphａndｌｅ)包括本機(jī)IＰＳEC數(shù)據(jù)包處理，或tcp，udｐ，iｃmｐ等Tｒansfer（tcp,udphａndｌｅ)ＲＲeｃvmｓg（)（ｓockeｔ）ＭＭanagｌｅ（FOＲWARＤ)EＳP，AH(使用ｎｅｔｉf_ｒx（）)等EＳP，AH(使用ｎｅｔｉf_ｒx（）)等ＬｏｃａlｐrｏｃesｓＬｏｃａlｐrｏｃesｓFiｌｔｅｒFiｌｔｅｒFORＷAＲDｓendmsg()（sｏcket）ｓendmsg()（sｏcket）轉(zhuǎn)發(fā)包過(guò)濾Tranｓfer（tｃp,ｕdｐhaｎdlｅ)轉(zhuǎn)發(fā)包過(guò)濾Tranｓfer（tｃp,ｕdｐhaｎdlｅ)安全路有檢查,查找路由表（包括查找ＩPSEＣ策略）Ｒｏｕｔeｄｅcisｉoｎ安全路有檢查,查找路由表（包括查找ＩPSEＣ策略）ＲｏｕｔeｄｅcisｉoｎＩＩｎpｕt_rouｔeOOuｔput_rouｔe通過(guò)找到的策略調(diào)用相關(guān)SＡ封裝IPＳＥＣ數(shù)據(jù)包通過(guò)找到的策略調(diào)用相關(guān)SＡ封裝IPＳＥＣ數(shù)據(jù)包Ｍanａｇle(ＯUTＰUT）Ｍanａｇle(ＯUTＰUT）NNaｔ(ＯUＴＰＵＴ)發(fā)送包過(guò)濾發(fā)送包過(guò)濾Fiｌtｅｒ（ＯUTPUＴ）Fiｌtｅｒ（ＯUTPUＴ）主要改變M主要改變Mａrｋ,ｔoｓ,ttlMａnagle（POSTROUＴINＧ)SNATLIＮＫIｐ_Send_out（)NAT(PＯSTROＵTIＮＧ)SNATLIＮＫIｐ_Send_out（)NAT(PＯSTROＵTIＮＧ)IＰ_frａgmｅnｔIＰ_frａgmｅnｔQOSQOS圖１,ｔcｐ／ip協(xié)議棧ＡＦ＿ＩＮET運(yùn)行結(jié)構(gòu)圖（包含IPSＥＣ，ｎｅtfilter,ａf＿keｙ)Neｔｆｉlter維護(hù)鏈表：netfiｌｔｅr定義了一個(gè)二維的鏈表頭數(shù)組struｃｔ

lｉst＿h(yuǎn)ｅaｄ

nf_hookｓ［NＰRＯTＯ]［NF＿ＭＡX_HOOＫS］來(lái)表示全部協(xié)議族的各個(gè)掛接點(diǎn),ＮPRＯTＯ值為３２，可表示lｉｎux所支持全部32個(gè)協(xié)議族（incluｄe／lｉnux/socket。ｈ文件中定義）,也就是使用sockｅt(2)函數(shù)的第一個(gè)參數(shù)的值,如互聯(lián)網(wǎng)的TCP/IＰ協(xié)議族PF＿ＩＮET(２）.每個(gè)協(xié)議族有NF_ＭAX＿HOＯＫS（8)個(gè)掛接點(diǎn)，但實(shí)際只用了如上所述的５個(gè)，數(shù)組中每個(gè)元素表示一個(gè)協(xié)議族在一個(gè)掛接點(diǎn)的處理鏈表頭。AF＿IＰXAＦ_AX25AＦ＿LOCAＬAＦ_ＩNETAF＿IＰXAＦ_AX25AＦ＿LOCAＬAＦ_ＩNET…………PREROUＴIＮＧFORＷＡRDIＮPUTOＵTPUTＰOSTROＵＴＩＮＧ…………PREROUＴIＮＧFORＷＡRDIＮPUTOＵTPUTＰOSTROＵＴＩＮＧ……．…………．……．……．…………．……．……．…………managｌemanａgｌemａｎaｇlｅｍａｎaｇlｅmaｎaｇlｅmanagｌemanａgｌemａｎaｇlｅｍａｎaｇlｅmaｎaｇlｅｎaｔnaｔfｉlｔerfｉｌteｒｎaｔｎaｔnaｔfｉlｔerfｉｌteｒｎaｔfilteｒ……。……．filteｒ……?！?……。圖２,netｆilter維護(hù)的鏈表結(jié)構(gòu)圖例如:在ＩPv4(PF_ＩNET協(xié)議族）下，各掛接點(diǎn)定義在：NF_IP_PRE_ROＵTIＮG中，在IＰ棧成功接收ｓk_bｕfｆ包后處理，掛接點(diǎn)在在neｔ/ipv4/ip＿ｉｎpｕt。c的函數(shù)

int

ip_ｒcv（struｃt

ｓk_ｂuff

＊sｋｂ，

strucｔ

net_devｉce

＊deｖ,

ｓtruｃｔ

ｐａｃkeｔ＿ｔype

*pt)?中使用:

return

ＮＦ_HＯOK（PF_IＮＥＴ,

NF＿IP＿PRＥ_(tái)RＯUTIＮG,

skｂ，

dｅv,

ＮULL，

ip_ｒcｖ_ｆｉnｉｓｈ）；掛接點(diǎn)的操作由結(jié)構(gòu)ｓｔｒｕcｔ

nf＿h(yuǎn)ooｋ_ops定義：?iｎｃｌｕde／liｎｕｘ/ｎeｔfilｔer．ｈ?

sｔruct

ｎf_hook＿ｏps?｛?

ｓtruｃt

ｌist_ｈｅａd

ｌisｔ；/／鏈表頭,用于將此結(jié)構(gòu)接入操作鏈表?

/＊

Usｅr

ｆills

in

from

herｅ

down.

＊/?

nｆ_hooｋfn

*hoｏｋ;／/鉤子函數(shù)?

ｉnｔ

pf；//協(xié)議族?

ｉｎｔ

ｈｏｏknuｍ；//掛接點(diǎn)如:PREＲＯＵTING

/＊

Hooｋs

aｒe

oｒｄered

iｎ

ａsｃｅnding

ｐriｏrｉｔy。

＊/?

int

prｉorｉty;／/優(yōu)先級(jí)

｝；優(yōu)先級(jí)列表：

NＦ_IP_PＲI_ＦIRSＴ

=

IＮT_MIN,?

ＮF＿ＩP＿PRＩ_CONNＴＲACK

＝

－2０0，

NF_IＰ_PRI＿M(jìn)AＮGLE

＝

－1５0，

NF＿IP_PRＩ_ＮAＴ_DＳT

=

-10０,

NＦ＿IP_PRI＿FILTER

＝

0，?

NF_IP＿PRI＿NAT_SＲC

＝

100，?

NＦ_IP_PRI_ＬAST

=

INT_MAＸａf_ｉnet模塊掛接（簡(jiǎn)略運(yùn)轉(zhuǎn)關(guān)系，由于時(shí)間緣由,就不在敘述）：ineｔ＿init（)ineｔ＿init（)即使用socｋｅｔ套接字建立之后，調(diào)用函數(shù)如：ｉoｃtｌ，ｓend，rｅcv，ｓetsoｃｋoｐｔ，cloｓe，cｏnnｅｃt等的注冊(cè)（傳輸層到網(wǎng)絡(luò)層）.添加到結(jié)構(gòu)體ｐｒoto_list即使用socｋｅｔ套接字建立之后，調(diào)用函數(shù)如：ｉoｃtｌ，ｓend，rｅcv，ｓetsoｃｋoｐｔ，cloｓe，cｏnnｅｃt等的注冊(cè)（傳輸層到網(wǎng)絡(luò)層）.添加到結(jié)構(gòu)體ｐｒoto_list中。注冊(cè)套接字操作函數(shù),STREAＭ，RAＷ，DGRAＭ用戶(hù)空間使用ｓocket選擇PF_ＩNET后，把內(nèi)核調(diào)用的函數(shù)用戶(hù)空間使用ｓocket選擇PF_ＩNET后，把內(nèi)核調(diào)用的函數(shù)ineｔ_cｒｅaｔe添加到結(jié)構(gòu)體ｎet_faｍiliｅｓ［ＰＦ_IＮＥT]中.主要分配結(jié)構(gòu)體soｃｋ（INEＴ_sｏck）注冊(cè)socｋet調(diào)用函數(shù)注冊(cè)socｋet調(diào)用函數(shù)當(dāng)通過(guò)ｉp_rcｖ之后的路由抉擇以后的傳輸層處理函數(shù),如ｔcphandｌe,添加到結(jié)構(gòu)體iｎeｔ＿ｐrｏｔｏｓ當(dāng)通過(guò)ｉp_rcｖ之后的路由抉擇以后的傳輸層處理函數(shù),如ｔcphandｌe,添加到結(jié)構(gòu)體iｎeｔ＿ｐrｏｔｏｓ[ｐrｏｔoｃｏｌ］中。注冊(cè)傳輸層處理函數(shù)（包括IGMP）初始化ARP，ＩP，TCP,UDP,ＩCＭＰ相關(guān)參數(shù),添加相關(guān)信息.初始化ARP，ＩP，TCP,UDP,ＩCＭＰ相關(guān)參數(shù),添加相關(guān)信息.初始化相關(guān)信息(nａmespacｅ），如路由表初始化初始化相關(guān)信息(nａmespacｅ），如路由表初始化添加結(jié)構(gòu)體ip＿packeｔ＿tyｐｅ添加結(jié)構(gòu)體ip＿packeｔ＿tyｐｅ,下層軟件通過(guò)ｉp＿pａckeｔ_ｔype類(lèi)型來(lái)判斷需要調(diào)用的模塊.注冊(cè)模塊處理類(lèi)型IPV4ａｆ_keｙ模塊掛接（簡(jiǎn)略運(yùn)轉(zhuǎn)關(guān)系,由于時(shí)間緣由,就不在敘述)：內(nèi)核中ＰF_KEY實(shí)現(xiàn)要完成的功能是實(shí)現(xiàn)維護(hù)內(nèi)核的平安聯(lián)盟（SA)和平安策略（SＰ)數(shù)據(jù)庫(kù)，

以及和用戶(hù)空間的接口。Iｐｓeｃ_ａｆkeyIｐｓeｃ_ａｆkey_iｎit（）即使用sockeｔ套接字建立之后的端口操作。這里只注冊(cè)了結(jié)構(gòu)體pｆｋeｙ_ｓock大小。掛接到鏈表ｐrｏｔｏ_lｉｓｔ即使用sockeｔ套接字建立之后的端口操作。這里只注冊(cè)了結(jié)構(gòu)體pｆｋeｙ_ｓock大小。掛接到鏈表ｐrｏｔｏ_lｉｓｔ中注冊(cè)套接字操作函數(shù)用戶(hù)空間使用sｏckｅｔ選擇PＦ_ＫEY后，把內(nèi)核調(diào)用函數(shù)ａfkeｙ用戶(hù)空間使用sｏckｅｔ選擇PＦ_ＫEY后，把內(nèi)核調(diào)用函數(shù)ａfkeｙ＿creａt(yī)ｅ添加到結(jié)構(gòu)體net＿familiｅs[PF_INＥT]中。主要分配結(jié)構(gòu)體socｋ,設(shè)置操作函數(shù)結(jié)構(gòu)體ｐfkey＿ops，包含ｓendｍsg（）,reｃvmsg（）函數(shù)注冊(cè)ｓocket調(diào)用函數(shù)注冊(cè)ｓocket調(diào)用函數(shù)登記通知(notify)處理pｆkeyv2＿mgｒ登記通知(notify)處理pｆkeyv2＿mgｒ登記通知（nｏtｉfy）處理ｐfkeyv2_mgｒ，掛接到鏈表登記通知（nｏtｉfy）處理ｐfkeyv2_mgｒ，掛接到鏈表ｘfrm_kｍ_ｌｉst

中。簡(jiǎn)略過(guò)程略xfｒm＿ｓtaｔe表：xfｒm狀態(tài)用來(lái)描述SA在內(nèi)核中的簡(jiǎn)略實(shí)現(xiàn)stｒｕcｔ

xfｒｍ_state

{

/*

Nｏte:

bｙdｓt

is

re－used

ｄuring

gｃ

＊/

//

每個(gè)狀態(tài)結(jié)構(gòu)掛接到三個(gè)HＡSH鏈表中

sｔｒuｃt

hlist_nｏde

bydst；

//

按目的地址HＡSH

strｕct

hｌｉst_ｎode

byｓrｃ;

//

按源地址HＡSＨ

strｕｃt

ｈlist_nodｅ

byｓｐｉ;

/／

按SＰI值ＨＡSＨ

aｔｏmｉc＿t

rｅｆｃｎｔ;

/／

全部使用計(jì)數(shù)

spinlock_t

ｌock；

／／

狀態(tài)鎖

strｕct

xfrｍ_ｉd

id;

//

IＤ

stｒuｃt

ｘｆrm＿sｅleｃtｏr

ｓel；

/／

狀態(tài)選擇子

ｕ３2

geｎｉd;

/＊

Ｋey

mangｅｒ

ｂiｔｓ

＊/

strｕct

｛

u８

sｔaｔe;

ｕ8

dying;

ｕ32

ｓｅq；

}

ｋm；

/*

Parametｅｒs

ｏｆ

tｈiｓ

ｓtatｅ．

＊／

sｔruct

｛

u３２

reqｉd;

u８

ｍode;

u8

rｅｐｌａy_wｉｎdow;

u8

ａａlgo,

ｅalgｏ，

cａlgo;

ｕ8

ｆlags；

ｕ16

famiｌｙ；

xfｒm_addrｅss＿t

ｓadｄｒ;

int

heａder＿len;

int

ｔrａiｌer_lｅn;

｝

proｐs;

ｓｔrｕct

xｆrｍ_lifetｉme＿cfｇ

lft；

／/

生存時(shí)間

／＊

Ｄaｔａ

fｏr

tranｓfoｒmｅｒ

＊/

strｕｃt

ｘfrm_aｌｇo

*ａａlｇ；

//

hash算法

struct

xｆrｍ_ａlgo

*ｅalg；

//

加密算法

ｓtrucｔ

xｆrm＿aｌgo

*calg；

//

壓縮算法

／＊

Datａ

foｒ

ｅｎcapｓuｌａt(yī)ｏr

＊/

ｓtrｕct

xfrｍ_encａp_ｔmｐl

＊encａp;

/／

ＮAT-T封裝信息

/*

Dａt(yī)ａ

for

ｃarｅ－ｏf

aｄdrｅss

＊／

xｆｒｍ_addｒｅｓs_t

＊ｃoaｄdr;

／＊

IPCｏmp

neeｄs

an

IPIＰ

tｕnｎｅl

foｒ

ｈaｎdlinｇ

ｕncomｐrｅsｓｅd

paｃｋetｓ

*/

ｓtruct

xｆrｍ_sｔate

*tuｎnel;

／＊

If

a

tunnｅl,

nｕmｂｅr

of

users

＋

１

＊／

atｏmｉｃ_t

ｔunneｌ_uｓｅｒｓ；

／*

Ｓｔate

fｏr

rｅplay

detｅｃtioｎ

＊/

struｃt

xfｒm_rｅｐlaｙ_ｓｔａｔe

ｒeｐｌay;

／＊

Ｒｅpｌay

dｅｔection

statｅ

aｔ

thｅ

time

we

seｎt

thｅ

last

nｏtifiｃａt(yī)iｏｎ

＊／

struct

xfｒｍ_ｒeplay＿ｓｔａt(yī)e

prepｌay；

/＊

ｉnternａl

fｌag

tｈat

only

hoｌｄs

ｓtａｔｅ

ｆｏr

deｌaｙｅd

ａeveｎt

at

thｅ

＊

ｍomｅnｔ

*/

u３2

xｆｌagｓ；

/＊

Reｐlay

dｅteｃｔion

ｎotifiｃatｉon

settinｇｓ

＊／

u3２

repｌaｙ_maxagｅ；

u3２

ｒｅplay＿maｘdｉfｆ；

/*

Reｐlay

ｄeｔectｉon

noｔificatioｎ

ｔimｅr

＊／

ｓtruｃt

tiｍｅr_lｉ