Linux IP 协议承担承上启下职责,向上对接传输层,向下适配链路层。内容涵盖 IP 报文格式详解,包括版本号、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间及检验和等字段含义。阐述网段划分原理、子网掩码计算、私有与公网 IP 定义及 NAT 转换过程。深入分析 IP 分片与重组机制、MTU 限制对传输的影响,以及 MAC 帧结构与 ARP 协议跨网段寻址。最后探讨正反向代理服务器区别与内网穿透实现原理,为网络排查与优化提供理论支撑。
在 Linux 内核的网络子系统中,IP 协议承担着承上启下的关键职责:向上接收传输层(TCP/UDP)的数据包,为其添加地址与路由信息;向下将数据包交付给链路层(以太网等),完成物理传输的适配。当一个数据包从应用层发出,它会先经过 TCP 封装,再进入 IP 层被打上源 IP 和目的 IP 的标签,随后通过路由表计算出最优路径,最终通过网卡发送出去。这个过程中,IP 地址的分配、路由的选择、数据包的分片与重组,每一个环节都直接影响 Linux 网络的稳定性与性能。
在网络模型中,IP 协议位于网络层,负责实现两台主机之间的数据传送。它相当于快递员,处理数据的寻址与路由。
IP 报文头部包含多个关键字段,用于控制数据传输过程:
对于 IPv4 来说,该字段值为 4。
用来描述报头的单位,每个单位是 4 个字节。该字段决定了 IP 头部的总长度。
例如最大吞吐量、最小延迟、最高可靠性等。一般只能选一个优先级策略。
整个报文的大小,以字节为单位。包括头部和数据部分。
用于标识同一数据包的分片,确保接收方能正确重组。所有来自同一个原始数据包的分片具有相同的标识值。
包含保留位、不分片标志(DF)和更多分片标志(MF)。用于控制是否允许分片以及是否为最后一个分片。
指示当前分片在原数据包中的位置,以 8 字节为单位。用于确定分片的顺序。
数据包的最大跳数。每经过一个路由器减 1,防止路由器错误占用网络资源导致环路。
表示上层协议的类型,例如 TCP 协议(6)、UDP 协议(17)等。
使用 CRC 进行校验,来鉴别头部是否损坏。仅对头部进行校验,不对数据部分校验。
网段划分就是将一整个互联网划分为更小的网络区域,提高查询效率,方便管理。例如 A 区、B 区、C 区,再在每个区域进行划分,形成许多子网。
引入两个概念:
而划分网络位和主机位的就是子网掩码,比如 255.255.255.0。
假设现在有一个 IPv4 地址:192.168.1.100,二进制是 11000000.10101000.00000001.01100100。
子网掩码前面连续的 1 对应网络位,后面连续的 0 对应主机位。例如:
255.255.255.0 -> 11111111.11111111.11111111.00000000 -> 前 24 位是网络位,后 8 位是主机位。
它表示的含义是:IP 地址(二进制)的前 24 位保持不变,后 8 位全变为 0。
例如:11000000.10101000.00000001.01100100 -> 11000000.10101000.00000001.00000000
网段为 192.168.1.0。同一个网络主机如 192.168.1.5、192.168.1.200 最后的网段都是 192.168.1.0。
我们知道 IPv4 是由 32 位二进制表示,那么一共有 2^32 个 IP。但网民不止这么多,设备主机上网的时候再给它分配 IP,该 IP 由它连接的路由器分配,因此每次分配的 IP 可能不同。
RFC1918 规定了用于组建局域网的私有 IP 地址范围:
一个网段相当于一个局域网。该网段的第一个 IP 通常是路由器,该网段内的全部主机网段和对应路由器的网段相同。路由器一般有两个 IP 地址(公网 IP + 私网 IP),作为公网和私网的中间桥梁。
此时假设路由器的主机 7 想访问百度的服务器(假设 180.101.49.11:80),会执行:
因为报文还要经过下面的数据链路层,其中存在最大尺寸 MTU 限制(以太网中为 1500 字节),因此经过数据链路层的报文大小不能超过 MTU。即对于大'重量'的数据,分片是必须的。
在 IP 协议中,'16 位标识'、'3 位标志'、'13 位片偏移'是用来完成分片的:
注意:每个被分片的小数据包都有和原数据包核心信息一样的报头。既然 MTU 最大限制为 1500,除去报头(20),那么有效载荷为 1480。
当对方主机接收到不同的报文之后,可以通过上面三个报文信息来对报文分片报文进行排序:
如果被分片的报文存在丢失的情况,即组装不完整,那么整个报文(该报文的所有分片)就会被丢弃,此时出现报文丢包,超时重传直接重新传送该报文。
数据链路层具备 MTU 的最大数据包限制,中间的 IP 协议夹在传输层之间,肯定是要和上面沟通每次传下来的报文的。简单总结:
MAC 帧是数据链路层的'传输单元',对上面的报文执行最后的包装(不是协议)。
我们介绍几个重要的组成:
含目的地址的报文,会被当前局域网的所有主机拿到,但为什么只会给确定主机?因为 MAC 帧的包装,当其它主机看到该报文时,会查看里面的 MAC 地址,当该报文的'目的 MAC 地址'和自己的'MAC 地址'不一样,就会主动抛弃,实现快速辨别的效果。
首先 MAC 帧的数据包经过上下层的贯穿协议会直达路由器 A,中间局域网的主机不会接收,因为目的 MAC 地址是自己的路由器 A,此时 MAC 帧包装的 IP 数据包被路由器获取。 再去除外层的 MAC 帧拿到 IP 数据包,NAT 转换:替换里面的 IP 为自己的公网 IP,分配公网端口。 该路由器再根据目的 IP 查看路由表,确定下一跳(路由器),该路由器 A 再通过 ARP 协议由该路由器 A 通过公网向已经确定的下一跳路由器 B 发送请求,让路由器 B 告诉路由器 A 自己的 MAC 地址。 此时路由器 A 再重新封装 MAC 帧,源 MAC 地址为自己,目的 MAC 地址为路由器 B 的,再转交给网络。 当经过多个路由器到达最后一个路由器 C,去除 MAC 帧,找到了该数据包的目的 IP 网段,路由器 C 再通过 ARP 协议询问当前内的百度服务器,百度服务器回复路由器 C,C 再重新封装 MAC 帧,目的 MAC 地址为百度服务器的,源 MAC 地址为路由器 C,数据变完成了发送!
注意:路由器也可以理解为一个主机,也在执行操作系统上下层协议。
解决的问题:数据从应用层贯穿数据链路层才能经过网卡这些硬件发送,中间需要很多路由器运输,而 MAC 帧又是数据链路层的,需要不断更新源 MAC 地址和目的 MAC 地址,中间是无法跨越的。
ARP 协议怎么实现跨网段传输:ARP 协议只能在同一个网段中使用,ARP 协议可以快速在当前局域网内实现获取对方的 MAC 地址。那么在公网中呢?公网又是一个局域网,被逐渐分层,中间由运营商控制(路由器的公网 IP 又在一个局域内)。
ARP'欺骗'原理:当路由器 A 收到目标路由器 B 的 ARP 应答(其中就包含了 B 的 MAC 地址)之后,只要 ARP 的格式正确和目的主机是自己,就不会去验证真实性。此时 A 为了下次快速的获取 MAC 的地址,会将这些信息缓存下来,形成 ARP 缓存,如果多次收到同样的 ARP 应答,会更新 ARP 缓存表。 此时如果中间设备伪造 ARP 应答给路由器 A(知道对方的 IP 即可),随后将原来路由器 B 的 MAC 地址换成自己的'我是路由器 B,我的 MAC 地址是..',此时 A 在发送数据时,本来发给 B 的数据包就直接发给了中间人,形成'截胡'。
原理:客户端发送请求给代理服务器(包括给客户端分配 IP),代理服务器再将请求交给真正的服务端,服务器请求再通过代理服务器转交给客户端,例如:校园网。 特点:隐藏客户端真实 IP、限制某些资源的访问、客户端访问信息公开给中间的服务器。
原理:客户端通过互联网正常发送请求,只是在目标服务器前面出现了又一个中间服务器,用来收集客户端请求再转交给真正的目标服务器,同理再通过中间服务器返回或者真正服务器直接返回。 特点:负载均衡、隐藏后端的服务器,防止被攻击。
解决问题:只有客户端主动向服务器发送请求,服务端才可以和客户端之间实现通信,即服务端在无客户端主动发送请求的条件下,NAT 会直接拦截服务端的请求,因为内网 IP 在外网设备看来是不认识它的;而内网穿透就是实现双向通道,帮外网设备找到内网设备。
原理:首先我们要明白,私网客户端在公网的身份是:该路由器的公网 IP+ 分配端口。那么私网设备 A 通过这个 B 在公网的这个身份(长链接),不就可以访问到 B 吗?所以内网穿透本质是私网设备主动访问中间公网服务器,这样公网服务器就知道了私网设备的身份,那如果中间公网服务器再把双方的公网身份告诉对方,私网设备 A 不就可以直接和私网设备 B 通信!私网设备主动访问公网设备——>获取公网身份——>私网设备通过公网身份实现交流。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
