Linux 网络层(Network Layer)详解
在 Linux 网络协议栈中,“网络层”特指 OSI 模型的第 3 层,也就是 IP 层(Internet Protocol)。
它负责数据包的路由、转发、寻址、分片与重组,是整个 TCP/IP 协议栈的核心层。
下面从 Linux 的视角,系统性地讲解网络层相关的关键知识点、核心数据结构、重要参数、常见问题与调优实战。
1. Linux 网络协议栈整体分层(简要定位网络层)
Linux 内核网络栈(以 5.x/6.x 内核为例)大致可以分为:
| 层级(从上到下) | 对应 OSI 层 | 内核主要模块/文件 | 主要职责 |
|---|---|---|---|
| Socket 层 | 5–7 层 | net/socket.c | BSD Socket 接口 |
| 传输层(Transport) | 第 4 层 | net/ipv4/tcp.c / udp.c | TCP/UDP/SCTP 等 |
| 网络层(Internet) | 第 3 层 | net/ipv4/ip*.c / ipv6/ | IP 路由、转发、分片、ICMP |
| 链路层(Link) | 第 2 层 | net/core/dev.c / drivers/net | 网卡驱动、邻居子系统(ARP/ND) |
| 物理层 | 第 1 层 | 网卡硬件 | 比特流传输 |
网络层 是内核中最核心、代码量最大、最复杂的部分之一,主要代码集中在 net/ipv4/ 目录。
2. 网络层核心功能(Linux 实现视角)
| 功能 | 说明 | 内核主要文件/函数 | 关键点 / 注意事项 |
|---|---|---|---|
| IP 数据包路由 | 根据目的 IP 查找路由表决定下一跳 | ip_route_input() / ip_route_output() | fib(转发信息库)决定 |
| IP 数据包转发 | 本机作为路由器时,转发非本机数据包 | ip_forward() | 需开启 net.ipv4.ip_forward=1 |
| 分片与重组 | MTU 过小或路径 MTU 变化时分片,接收端重组 | ip_fragment() / ip_defrag() | IPv4 分片易被攻击 |
| ICMP 处理 | ping、traceroute、错误报告(Destination Unreachable 等) | icmp_rcv() / icmp_send() | rate limit 保护 |
| IP 选项处理 | IP header 中的 Options(如 timestamp、record route) | ip_options_compile() | 基本禁用(安全问题) |
| IP 校验和 | 计算/验证 IP 头部校验和 | ip_fast_csum() | 硬件卸载(checksum offload) |
| IPv6 支持 | 与 IPv4 并行,支持 ND(邻居发现)替代 ARP | net/ipv6/ | 现代系统默认开启 |
3. Linux 网络层核心数据结构
| 数据结构 | 作用 | 主要文件 | 关键字段 / 说明 |
|---|---|---|---|
struct net_device | 代表一张网卡 | include/linux/netdevice.h | ifindex、name、mtu、flags |
struct sk_buff | 网络数据包(socket buffer) | include/linux/skbuff.h | 几乎所有网络层函数的核心参数 |
struct rtable | IPv4 路由缓存条目 | net/ipv4/route.c | 路由缓存(较老内核) |
struct dst_entry | 通用路由缓存条目(IPv4/IPv6 共用) | include/net/dst.h | 现代内核主要使用 |
struct fib_info | 路由表条目详细信息 | net/ipv4/fib_semantics.c | nexthop、metric 等 |
struct flowi4 | IPv4 查找路由时的查询键 | include/net/flow.h | 用于路由查找 |
struct inet_peer | ICMP 限速、PMTU 缓存等 | net/ipv4/inetpeer.c | 防止 ICMP 洪水 |
最核心的数据结构:sk_buff
几乎所有网络层函数都以 struct sk_buff *skb 作为参数,它包含了数据包的所有信息(头部、payload、元数据)。
4. 高并发场景下网络层常见问题及调优
网络层调优主要解决以下问题:
| 问题类型 | 典型表现 | 关键参数 / 调优点 | 推荐值(高并发场景示例) |
|---|---|---|---|
| 路由查找慢 | 高并发下 CPU 高、延迟抖动 | net.ipv4.route.min_delay、fib_trie 优化 | 使用策略路由、分流 |
| 分片过多 | 丢包率高、延迟大 | net.ipv4.ip_no_pmtu_disc=0(开启 PMTU) | 尽量避免分片 |
| ICMP 洪水 | 系统被大量 ICMP 打垮 | net.ipv4.icmp_echo_ignore_all=1、net.ipv4.icmp_ratelimit | 限制速率 1000ms |
| 转发性能瓶颈 | 软中断 CPU 占用 100% | net.core.netdev_max_backlog、net.ipv4.ip_forward=1 | 16384–65536 |
| 连接跟踪(conntrack) | nf_conntrack: table full | net.netfilter.nf_conntrack_max、net.netfilter.nf_conntrack_tcp_timeout_established | 262144–1048576,超时减小 |
推荐高并发网络层参数组合(/etc/sysctl.conf):
# 路由缓存与查找优化
net.ipv4.route.gc_timeout = 300
net.ipv4.route.min_pmtu = 552
net.ipv4.route.max_size = 2147483647
# 转发相关(如果服务器做路由器)
net.ipv4.ip_forward = 1
net.ipv4.conf.all.forwarding = 1
# ICMP 保护
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.icmp_ratelimit = 1000
# 关闭不安全特性
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 05. 网络层常用诊断与调试命令
| 命令 | 作用 |
|---|---|
ip route show / route -n | 查看路由表 |
ip rule show | 查看策略路由规则 |
ip neigh show | 查看 ARP/ND 表(邻居表) |
ss -antp / netstat -antp | 查看 TCP 连接状态 |
tcpdump -i eth0 -n icmp | 捕获 ICMP 包 |
cat /proc/net/stat/nf_conntrack | 查看连接跟踪表使用情况 |
sysctl -a | grep ip_forward | 查看转发相关参数 |
ethtool -k eth0 | 查看网卡 offload 特性(checksum、TSO 等) |
6. 总结:Linux 网络层核心一句话记忆
Linux 网络层(IP 层) 负责:
- 把数据包从源 IP 送到目的 IP(路由 + 转发)
- 处理分片、重组、ICMP 控制报文
- 维护路由表、邻居表、连接跟踪表
高并发关键调优点:
路由缓存 → 连接队列(somaxconn、tcp_max_syn_backlog) → 缓冲区(rmem/wmem) → 端口范围 → conntrack 表 → 拥塞控制(BBR)
如果你现在有具体的场景(比如 Nginx 高并发、Kubernetes 集群网络慢、云主机丢包严重、转发性能瓶颈等),可以告诉我,我可以给出更针对性的参数组合和排查步骤。
