Linux虚拟网络基础

文章目录

Tap
Tap/Tun工作原理
Tap在libvirt中的应用

Tap

TAP设备是Linux内核虚拟网络设备，纯软件实现，经常会和tun并列谈论。
OS向连接到TUN/TAP设备的用户空间程序发送报文；用户空间程序可以像物理接口发送报文那像向TUN/TAP口发送报文，在这种情况下，TUN/TAP设备发送（或注入）报文到OS协议栈，就像报文从物理端口收到一样。

TUN/TAP provides packet reception and transmission for user space programs.
It can be seen as a simple Point-to-Point or Ethernet device, which,
instead of receiving packets from physical media, receives them from
user space program and instead of sending packets via physical media
writes them to the user space program.

tap位于网络OSI模型的二层（数据链路层），tun位于网络的三层。

tap从功能上讲，位于数据链路层，数据链路层的主要协议有：
1 点对点协议（Point-to-Point Protocol）
2 以太网（Ethernet）
3 高级数据链路协议（High-Level Data Link Protocol）
4 帧中继（Frame Relay）
5 异步传输模式（Asynchronous Transfer Mode）
但是tap只是与其中一种协议以太网（Ethernet）协议对应。所以，tap有时也称为“虚拟以太设备”。

Tap/Tun工作原理

Linux Tun/Tap驱动程序为应用程序提供了两种交互方式：虚拟网络接口和字符设备/dev/net/tun。写入字符设备/dev/net/tun的数据会发送到虚拟网络接口中；发送到虚拟网络接口中的数据也会出现在该字符设备上。

应用程序可以通过标准的Socket API向Tun/Tap接口发送IP数据包，就好像对一个真实的网卡进行操作一样。除了应用程序以外，操作系统也会根据TCP/IP协议栈的处理向Tun/Tap接口发送IP数据包或者以太网数据包，例如ARP或者ICMP数据包。Tun/Tap驱动程序会将Tun/Tap接口收到的数据包原样写入到/dev/net/tun字符设备上，处理Tun/Tap数据的应用程序如VPN程序可以从该设备上读取到数据包，以进行相应处理。

应用程序也可以通过/dev/net/tun字符设备写入数据包，这种情况下该字符设备上写入的数据包会被发送到Tun/Tap虚拟接口上，进入操作系统的TCP/IP协议栈进行相应处理，就像从物理网卡进入操作系统的数据一样。

Tun虚拟设备和物理网卡的区别是Tun虚拟设备是IP层设备，从/dev/net/tun字符设备上读取的是IP数据包，写入的也只能是IP数据包，因此不能进行二层操作，如发送ARP请求和以太网广播。与之相对的是，Tap虚拟设备是以太网设备，处理的是二层以太网数据帧，从/dev/net/tun字符设备上读取的是以太网数据帧，写入的也只能是以太网数据帧。从这点来看，Tap虚拟设备和真实的物理网卡的能力更接近。

Tap在libvirt中的应用

将guest system的网络和hostsystem的网络连在一起。
通过TUN/TAP adapter，会生成一个在host system上的虚拟网卡tap
tun建立了point to point的网络设备，使得guest system的网卡和tap虚拟网卡成为一对
从而guest system的所有网络包，host system都能收到。
虚拟机将网络包通过字符设备写入/dev/net/tun（Host上）；
字符设备驱动将数据包写入虚拟网卡驱动；
虚拟网卡驱动将包通过TCP/IP协议栈写给Host上的虚拟网卡tap0；
在HOST上通过路由规则（通过网桥（东西向流量）、网桥和路由器（南北向流量）），包从eth0出去。