ros路由器数据包工作流程

2021/07 27 12:07

 

每个方框简单解释:
physical in-interface(物理接口):路由器接收到的数据包的起点

logical in-interface(逻辑接口):解封装的数据包的起点

local in (本地输入):处理本地数据包

interface HTB(接口HTB):接口队列

physical out-interface(物理出接口):数据包实际发送之前的最后一点

logical out-interface(逻辑输出接口):封装之前数据包的最后一点

local out(本地输出):路由器生成数据包起始点

深入了解桥接,MPLS和路由流内部的情况

 

 

每个方框的解释:
routing decision(路由判断):在路由表中查找与数据包目的地址相同的IP,如果找到匹配时,数据包就会被处理,如果未找到匹配,将被丢弃处理

mpls decision(多协议标签交换技术):如何处理基于MPLS转发表的数据包

bridging decision(桥接决策):在mac地址表中查找与数据包目的地址相同的mac地址,同上

use-ip-firewall(使用防火墙):网桥设置中是否启用了use-ip-firewall选项

ipsec-policy (安全策略):数据包是否与任何已配置的IPsec策略匹配

路由前、输入、向前、输出、路由后

 

功能解释:
Hotspot-in(热点输入):允许捕获流量,否则将被连接跟踪丢弃。

RAW Prerouting

Connection tracking (连接追踪):数据包通过连接跟踪进行处理

Mangle Prerouting(路由前标记):标记输入链

Filter Input(过滤输入):防火墙过滤器输入链

HTB Global:队列树

Simple Queues(简单队列)

TTL(生存时间)

Mangle Forward(标记转发):标记转发链

Filter Forward (转发过滤)

Accounting:认证、授权和计费功能处理

RAW Output:RAW输出链

Mangle Output :标记输出链

Filter Output:防火墙过滤输出链路

Routing Adjustment

Mangle Postrouting:路由后的链

Src Nat:源nat转换

Dst Nat:目的nat转换

Hotspot-out:撤消所有,它是由热点为要回客户端的数据包

 

路由数据包

 

分析数据包过程:
一、数据包进入接口,路由器确定包是IP数据包,并且需要路由。
1.数据包进入预处理状态:(prerouting路由前)

2.通过路由表运行数据包,做出路由决策

3.数据包进入转发过程

4.数据包进入路由后处理

5.检查是否有IPsec并通过IPsec策略进行处理

二、数据包处理过程

1.数据包进入预处理状态:

a.检查是否有热点,并修改数据包供热点使用

b.通过RAW预路由链处理数据包

c.通过连接跟踪发送数据包;

d.通过Mangle预路由链处理数据包;

e.通过NAT dst-nat链处理数据包

3.数据包进入转发过程:

a.检查ttl值

b.通过Mangle前向链处理数据包

c.通过过滤转发链处理报文

d.将数据包发送到记帐流程

4.数据包进入路由后处理

a.通过Mangle后路由链处理数据包

b.通过NATsrc-nat链处理数据包

c.如果存在热点,请撤消对热点导入所做的任何修改

d.通过队列树处理数据包(HTB全局)

e.通过简单的队列处理数据包

input

1.数据包进入预处理状态

2.路由表运行数据包,并做出路由决策

3.数据包进入转发状态

4.数据包进入路由后处理

5.检查是否有IPsec并通过IPsec策略进行处理

数据包处理过程

1.数据包进入预处理状态

a检查是否有热点并修改数据包以供热点使用

b.通过RAW预路由链处理数据包

c.通过连接跟踪发送数据包

d.通过Mangle预路由链处理数据包

e.通过NAT dst-nat链处理数据包

3.数据包进入转发状态

a.检查TTL值

b.通过Mangle前向链处理数据包

c.通过过滤转发链处理数据包

d.发送数据包到计费过程

4.数据包进入路由后处理过程

a.通过Mangle后路由链处理数据包

b.通过NATsrc-nat链处理数据包

c.如果存在热点,请撤消对热点进行的任何修改

d.通过队列树(HTB全局)处理数据包

e.通过简单的队列处理数据包

output


当一个数据包来自路由器时(路由输出)过程:

1.这个数据包来自路由器本身

2.数据包进入输出状态

3.数据包进入路由后处理

4.检查是否有IPsec并通过IPsec策略进行处理;

数据包处理过程:

1.这个数据包源自路由器本身

a.数据包通过路由表做出路由决策

2.数据包进入输出状态

a.通过网桥决策处理数据包

b.通过连接跟踪发送数据包

c.通过Mangle输出链处理数据包

d.通过过滤器输出链处理数据包

e.发送数据包以进行路由调整(策略路由)

3.数据包进入路由后处理

a.通过Mangle后路由链处理数据包

b.通过NATsrc-nat链处理数据包

c.如果存在热点,请撤消对热点导入所做的任何修改

d.通过队列树处理数据包(HTB全局)

e.通过简单的队列处理数据包

桥接数据包流

桥接转发:


桥接转发是一个过程,当数据包从一个桥接端口转发到另一个桥接端口时,实际上是连接同一个网络上的多个设备

1.数据包通过网桥NAT dst-nat链,可以更改MAC的目的地和优先级,除此之外,还可以简单地接受,丢弃或标记数据包

2.检查网桥设置中是否启用了use-ip-firewall选项(使用IP防火墙)

3.通过网桥主机表运行数据包以做出转发决定。 最终被淹没的数据包(例如广播,多播,未知单播流量),每个网桥端口成倍增加,然后在网桥前向链中进一步处理

4.数据包通过网桥过滤器转发,在其中可以更改优先级或可以简单地接受,丢弃或标记数据包

5.检查网桥设置中是否启用了use-ip-firewall选项(IP防火墙)

6.数据包通过桥nat链,可以更改MAC源和优先级的位置。除此之外,还可以简单地接受,丢弃或标记数据包;

7.检查网桥设置中是否启用了use-ip-firewall选项(IP防火墙)

网桥输入

1.数据包通过网桥NAT dst-nat链,可以更改MAC的目的地和优先级,除此之外,还可以简单地接受,丢弃或标记数据包。

2.检查网桥设置中是否启用了use-ip-firewall选项(IP防火墙)

3.通过网桥主机表运行数据包,进行转发决定,目的Mac地址与网桥Mac地址匹配的数据包将被传递到网桥输入链中

4.数据包通过网桥过滤器,在其中进行更改包的优先级或可以简单接受丢弃数据、标记数据包

网桥输出过程

1.网桥主机表运行数据包进行转发决定

2.数据包通过网桥过滤器输出,在其中进行更高数据包的优先级等操作

3.数据包通过网桥nat,在其中更高源nat和优先级等操作处理

4.检查网桥设置是否启用了IP防火墙

启用防火墙过滤转发数据包:

1.数据包通过网桥目的nat链

2.用IP防火墙选项启用,这个数据包将会在路由前进一步处理

3.数据包进入路由前处理

4.通过网桥主机表运行数据包做出转发决定

5.数据包通过网桥过滤器向前一步处理

6.启用IP防护墙过滤选项,数据包将在路由前做进一步处理

7.数据包启用路由转发处理

8.数据包通过网桥源nat

9.将IP防火墙启用,这个数据包将会在路由后做进一步处理

10.数据包进入路由前处理

 

--转载请注明: http://91o.cc/ros%e8%b7%af%e7%94%b1%e5%99%a8%e6%95%b0%e6%8d%ae%e5%8c%85%e5%b7%a5%e4%bd%9c%e6%b5%81%e7%a8%8b/