Linux网络协议栈7--ipsec收发包流程

流程路径：ip_rcv() -->ip_rcv_finish() -->ip_local_deliver() --> ip_local_deliver_finish()

解封侧一定是ip报文的目的端，ip_rcv_finish中查到的路由肯定是本机路由（RTCF_LOCAL），调用 ip_local_deliver 处理。

下面是贴的网上的一张图片。

ip_local_deliver_finish中 根据上次协议类型，调用对应的处理函数。inet_protos 中挂载了各类协议的 *** 作集，对于AH或者ESP来说，是xfrm4_rcv，对于ipsec nat-t情况下，是udp协议的处理函数udp_rcv，内部才是封装的ipsec报文（AH或者ESP）。

xfrm4_rcv -->xfrm4_rcv_spi -->xfrm4_rcv_encap -->xfrm_input

最终调用 xfrm_input 做收包解封装流程。

1、创建SKB的安全路径；

2、解析报文，获取daddr、spi，加上协议类型（esp、ah等），就可以查询到SA了，这些是SA的key，下面列出了一组linux ipsec的state（sa）和policy，方便一眼就能看到关键信息；

3、调用SA对应协议类型的input函数，解包，并返回更上层的协议类型，type可为esp,ah,ipcomp等。对应的处理函数esp_input、ah_input等；

4、解码完成后，再根据ipsec的模式做解封处理，常用的有隧道模式和传输模式。对应xfrm4_mode_tunnel_input 和 xfrm4_transport_inout，处理都比较简单，隧道模式去掉外层头，传输模式只是设置一些skb的数据。

5、协议类型可以多层封装，如ESP+AH，所以需要再次解析内存协议，如果还是AH、ESP、COMP，则解析新的spi，返回2，查询新的SA处理报文。

6、经过上面流程处理，漏出了用户数据报文（IP报文），根据ipsec模式：

流程路径如下图，这里以转发流程为例，本机发送的包主要流程类似。

转发流程：

ip_forward 函数中调用xfrm4_route_forward，这个函数：

1、解析用户报文，查找对应的Ipsec policy（__xfrm_policy_lookup）；

2、再根据policy的模版tmpl查找对应最优的SA（xfrm_tmpl_resolve），模版的内容以及和SA的对应关系见上面贴出的ip xfrm命令显示；

3、最后根据SA生成安全路由，挂载再skb的dst上； 一条用户流可以声明多个安全策略（policy），所以会对应多个SA，每个SA处理会生成一个安全路由项struct dst_entry结构（xfrm_resolve_and_create_bundle），这些安全路由项通过 child 指针链接为一个链表，其成员 output挂载了不同安全协议的处理函数，这样就可以对数据包进行连续的处理，比如先压缩，再ESP封装，再AH封装。

安全路由链的最后一个路由项一定是普通IP路由项，因为最终报文都得走普通路由转发出去，如果是隧道模式，在tunnel output封装完完成ip头后还会再查一次路由挂载到安全路由链的最后一个。

注： SA安全联盟是IPsec的基础，也是IPsec的本质。 SA是通信对等体间对某些要素的约定，例如使用哪种协议、协议的 *** 作模式、加密算法、特定流中保护数据的共享密钥以及SA的生存周期等。

然后，经过FORWARD点后，调用ip_forward_finish()-->dst_output，最终调用skb_dst(skb)->output(skb)，此时挂载的xfrm4_output

本机发送流程简单记录一下，和转发流程殊途同归：

查询安全路由： ip_queue_xmit -->ip_route_output_flow -->__xfrm_lookup

封装发送：ip_queue_xmit -->ip_local_out -->dst_output -->xfrm4_output

注：

1). 无论转发还是本地发送，在查询安全路由之前都会查一次普通路由，如果查不到，报文丢弃，但这条路由不一定需要指向真实的下一跳的出接口，只要能匹配到报文DIP即可，如配置一跳其它接口的defualt。

2). strongswan是一款用的比较多的ipsec开源软件，协商完成后可以看到其创建了220 table，经常有人问里面的路由有啥用、为什么有时有有时无。这里做个测试记录： 1、220中貌似只有在tunnel模式且感兴趣流是本机发起（本机配置感兴趣流IP地址）的时候才会配置感兴趣流相关的路由，路由指定了source；2、不配置也没有关系，如1）中所说，只要存在感兴趣流的路由即可，只不过ping的时候需要指定source，否者可能匹配不到感兴趣流。所以感觉220这个表一是为了保证

ipsec封装发送流程：

xfrm4_output-->xfrm4_output_finish-->xfrm_output-->xfrm_output2-->xfrm_output_resume-->xfrm_output_one

xfrm4_output 函数先过POSTROUTING点，在封装之前可以先做SNAT。后面则调用xfrm_output_resume-->xfrm_output_one 做IPSEC封装最终走普通路由走IP发送。

贴一些网上的几张数据结构图

1、安全路由

2、策略相关协议处理结构

3、状态相关协议处理结构

好吧，我来回答吧，首先是网卡驱动程序捕获到数据包，做检验无误后，和DMA以及CPU交互，然后由DMA和驱动程序创建BD表，然后分配skbuf（LINUX下）数据结构保存获得的数据帧，内核通过协议栈处理这个skbuf，通常是层层剥离每个层的首部，然后传到上一层，细节就是一个变量做偏移量，每次做一个首部偏移读取首部数据，识别本层协议类型以及下一层协议类型，具体过程就是这个网络原理的过程，请参考《TCP/IP详解卷一》《linux设备驱动程序》《understanding linux network internals》《Unix网络编程卷一》等。

首先，嵌入Linux内核是可定制的内核：

1 Linux内核的配置系统

2 Linux内核的模块机制

3 Linux内核的源代码开放

4 经裁减的 Linux内核最小可达到 150KB以下，尤其适合嵌入式领域中资源受限的实际情况。

其次，它的性能优越：Linux 系统内核精简、高效和稳定，能够充分发挥硬件的功能，因此它比其他 *** 作系统的运行效率更高。

再者，它有良好的网络支持：

1 支持 TCP/IP 协议栈

2 提供对包括十兆位、百兆位及千兆位的以太网，还有无线网络、Tokenring（令牌环）和光纤甚至卫星的支持

3 对现在依赖于网络的嵌入式设备来说是很好的选择。

至于网络协议的话，有很多种，就目前主流的3种网络协议是：NetBEUI、IPX/SPX及其兼容协议、TCP/IP，而其他的像Lwip、ZigBee、Sip等很多。

1 NetBEUI的前身是NetBIOS，这一协议是IBM1983年开发完成的，早期的微软OS产品中都选择该协议作为通信协议。它是一套用于实现仅仅在小型局域网上PC见相互通信的标准。该网络最大用户数不能超过30个，1985年，微软对其改进，增加了SMB(Server Message Blocks，服务器消息块)的组成部分，以降低网络的通信阻塞，形成了现在的NetBEUI通信协议。

特点：体积小、效率高、速度快、占用内存少。

2 IPX/SPX及其兼容协议：它的全称是“Internwork Packet Exchange/Sequence Packet Exchange”即网际包交换/顺序包交换。

特点：体积较大、能够连接多种网络、具有强大的路由功能，适合大型网络的使用。windows网络中无法直接使用该协议。

3 TCP/IP是国际互联网Internet采用的协议标准，早期用于ARPANet网络，后来开放用于民间。

特点：灵活性，支持任意规模的网络，可以连接所有的计算机，具有路由功能，且TCP/IP的地址是分级的，容易确定并找到网上的用户，提高了网络代换的利用率。

而其他的像Lwip协议栈的特点：

（1）支持多网络接口的IP转发

（2）支持ICMP协议

（3）包括实验性扩展的UDP

（4）包括阻塞控制，RTT估算和快速恢复和快速转发的TCP

（5）提供专门的内部回调接口用于提高应用程序性能

（6）可选择的Berkeley接口API

（7）在最新的版本中支持ppp

不知道这些是不是你想要的。

---