linux网络协议栈(四)链路层 (5)vlan处理

4.6、VLAN处理：

4.6.1、vlan原理

对于带vlan的以太网报文，其以太网类型为0x8100，所以链路层中对于带vlan报文的处理就是对于以太网类型为0x8100的报文的处理；

vlan，用于在链路层划分广播域，实现数据在链路层分流，在二层交换机中，vlan实际行使其功能是体现在uni端口上，通过在端口上配置能通过哪些vlan，实现不同的端口可以通行不同的数据流，比如二层交换机的端口有的是access端口，即配置为只能通过一个vlan，有的是trunk端口，即配置为可通过多个vlan(很多二层网络设备可能还有其他的叫法，如raisecom设备根据CTC标准端口可配置为透传模式、翻译模式、trunk模式、tag模式等，但本质含义相似，都是在配置能通过哪些vlan)，二层交换机的vlan处理如下图：

在上图中，发出报文带有vlan10、20、30的PC分属不同的广播域，即比如发出报文带vlan20的PC如果连在交换机的红色端口上，那么报文会被交换机直接过滤掉，因为红色端口不能通过vlan20的报文，所以如果发出报文带vlan20的某蓝色PC发出广播包，那么所有其他的蓝色PC都能收到这个广播包，而其他PC无法收到，这就是划分广播域。

linux的vlan处理与之相似，每个接口相当于二层交换机的每个物理端口，同样由用户给不同端口配置其可通过的不同的vlan，当带有某vlan的报文进入某接口时，通过检测该接口是否存在该vlan的vlan子接口决定是否可通行此报文，可以理解为，linux对vlan的处理就是通过vlan子接口的方式，实现二层交换机端口vlan的功能。

4.6.2、linux的vlan处理：

linux的vlan处理源码在代码树net/8021q/目录下，核心文件是vlan.c和vlan_dev.c；

linux的vlan处理和网桥处理很相似，在接收方向上，链路层收到带vlan报文后先进入vlan模块处理，然后在找到对应的vlan子接口后，更新报文输入接口为vlan子接口并剥除vlan，然后把该报文打回链路层重新处理，上层协议栈可见的是该报文从vlan子接口接收；在发送方向上，上层协议栈把报文由vlan子接口发送，继而再通过其原始接收的宿主接口发送出去，以带vlan10的报文为例，下图串联了带vlan报文的接收和发送：

vlan模块在内核的初始化由函数vlan_proto_init完成，它包括如下内容：

1、 在内核中注册以太网类型值为0x8100的ptype(处理函数为vlan_skb_recv)；

2、 注册linux对于vlan的ioctl接口，典型如vconfig使用它；

3、 初始化linux的vlan值集合功能，它用于记录宿主设备的vlan子接口的功能；

4、注册linux的vlan相关的proc接口，即/proc/net/vlan；

5、注册linux对于vlan相关的routenetlink接口；

6、注册linux的vlan相关的内核通知链；

我们已经知道linux的vlan处理就是根据二层交换机vlan原理实现的，其本质就是接口的vlan子接口的实现，下面就通过vconfig工具创建vlan子接口的过程描述：

vconfig工具在内核中首先调用vlan_ioctl_handler函数，对于创建vlan子接口的操作，调用函数register_vlan_device，参数是用户输入的宿主接口和vlan值，如宿主接口是eth0、vlan值是10，那么就是说在接口eth0中加入一个vlan子接口eth0.10，意思就是说接口eth0允许带vlan10的报文通过；

vlan型接口的私货是结构体vlan_dev_info，它里边最重要的字段就是记录了宿主接口和vlan值，此外和网桥型接口一样，vlan型接口在内核中也有专用的ops，在vlan_dev.c文件中定义了全局变量vlan_netdev_ops，它规定了vlan型接口的ops，比较需要注意的就是它的发送方法vlan_dev_hard_start_xmit，其他方法和普通接口区别不大；

创建的vlan子接口继承了其宿主接口的MAC地址、MTU，最终由函数register_vlan_dev把该vlan子接口注册进内核，并且同时在宿主接口中记录该vlan子接口，

这里注意下内核通过结构体vlan_group描述每个宿主接口都有哪些vlan子接口，在vlan模块中通过内部函数__vlan_find_group查找定位，外部函数__find_vlan_dev供查找某接口是否存在某vlan值的vlan子接口，这就是vlan报文处理函数vlan_skb_recv一上来就要判断的，判断该宿主接口是否存在该vlan值的子接口，即是否允许带该vlan的报文通过；

如果不允许通过则就此丢弃该报文，否则说明可以通过，先将报文的输入接口(skb->dev重置为vlan子接口)，再将vlan标签剥除(vlan_check_reorder_header)，再打回链路层重新处理(netif_rx)，这样再处理时上层协议栈认为该报文由vlan子接口进入的；

所以对于该报文的回复报文，上层协议栈也会把它从该vlan子接口发送，这将调用vlan型接口的发送函数vlan_dev_hard_start_xmit，它将根据vlan子接口找到其宿主接口，更新报文的出接口(skb->dev)为宿主接口，最终调用dev_queue_xmit把报文从宿主接口发送出去。

事实上linux只实现了二层交换机的最简单的vlan功能，主要是CPU并不直接做二层转发，二层转发是由硬件完成的，但是二层的很多qos功能由vlan实现，带不同vlan的报文走不同的业务通道，比如vlan10在二层转发中所走通道比其他vlan更快，那么重要报文会加上vlan10的标签，也许这样的报文需要上CPU处理，所以linux需要能够识别vlan。