Linux下Tun/Tap设备通信原理

Tun/Tap都是虚拟网卡，没有直接映射到物理网卡，是一种纯软件的实现。Tun是三层虚拟设备，能够处理三层即IP包，Tap是二层设备，能处理链路层网络包如以太网包。使用虚拟网络设备，可以实现隧道，如OpenVPN的实现。这篇文章我主要根据自己画的一个图来简单说明在隧道实现中两个虚拟网络设备数据包的流程。

上面的图中，左右两边分别为两台机器。一台有一块物理网卡配置了IP：172.16.1.11，这台机器的系统里有一个Tun(以Tun为例，不讲Tap了)设备，配置了IP：192.168.1.11; 另一台的一块物理网卡配置了IP：172.16.1.12，系统里有一个Tun设备并配置了IP：192.168.1.12。

左边Linux系统里有一个Application，绑定到端口地址为： 192.168.1.11:5000，右边Linux也有一个Application，绑定到端口地址为：192.168.1.12:5000，显然它们绑定的都是Tun设备的IP，接着它们就通过这两个地址通信了。

假设左边的Application要给右边的Application发送一个数据包，流程是这样的：

左边的Application并不知道什么虚拟网络设备，它只知道往"192.168.1.12:5000"这个地址发送，左边主机系统首先按正常的发包过程处理，比如判断目的主机是不是位于同一网段等等，然后数据包就在Linux的网络协议栈中穿行。Tun设备并不是真实的物理网卡，它不知道把数据包往哪里送，但是这些经过了Linux网络协议栈的数据可以从Tun设备的文件描述符中读取到，图中的“User Program”就是监听这个描述符等待读取数据的。这个“User Program”程序绑定的端口地址是：172.16.1.11:6000，每当它从Tun设备读到数据的时候，就把这些数据从物理网卡发送出去，目标地址是右边的：172.168.1.12:6000。

数据到达右边的系统，经过网络协议栈之后到达“User Program”应用进程，“User Program”将接收到的数据往Tun设备对应的文件描述符写入。对于Tun设备来说，“写入”就像是物理网卡接受到数据包一样，因此这些接收到的数据又进入了Linux的网络协议栈，最终到达右边的Application。

可能有人迷糊了，这里的Application是指各种各样的用户程序，如ping工具。“User Program”是用来辅助Tun设备来实现隧道功能的，可以想象成是OpenVPN进程，没有它隧道就废了。

想要看一个简单的隧道实现吗？戳这里。

欢迎关注公众号：