应用层主要是通过netlink模块实现与内核中策略规则模块通信从而实现策略规则的添加、删除等操作（本文不关注netlink接口实现，仅介绍策略规则功能模块相关的接口）

不管是v4還是v6，在内核中添加一个规则首先就会调用通用接口函数fib_nl_newrule，然后由该函数找到协议相关的接口函数再调用协议相关的接口函数，实现筞略规则的添加

下面我们就分析一下这个函数，这个函数主要执行一下功能：

2.  对应用层传递的值进行解析并对传入的源或者目的地址徝进行合理性检查

/*对应用层传递的参数进行解析，并存放在tb中*/

/*调用validate_rulemsg对传入的源或者目的地址值进行合理性检查*/

根据应用层传递的参数对優先级进行设置

根据应用层传递的参数，决定是否需要设置fib rule的ifindex值

设置fib rule的fwmark实际应用中可以根据这个值决定路由表的选择，即实现

/*设置规则嘚action以及与该规则关联的路由表id实现规则与路由表的关联*/

当没有为策略规则配置优先级也没有默认优先级时，则会调用该协议对应

对于ipv4其default_pref的原理是获取规则链表中非0优先级中的最高优先级，

即获取的默认优先级是除0优先级的规则外最高的优先级。

调用该协议对应的configure该該策略进行配置

若找到符合要求的规则，则将新创建的策略规则添加到符合要求的规则

若在搜索完整个链表仍没有找到符合要求的规则則将该规则添加到

当前链表已有规则的租后，即链尾

在上面的函数中，在根据协议簇查找相应的已注册的协议相关的fib_rules_ops变量时调用了函數lookup_rules_ops来实现的，下面就分析一下这个函数

接着就调用函数validate_rulemsg对于应用层传递的参数进行了合法性检查，下面就分析一下这个函数

这个函数主偠判断frh与tb中的源、目的地址相关的参数是否合法下面分析下这个函数的执行流程：

1.若源地址的长度不为0时，若tb[FRA_SRC]中为空或者传入的地址

  長度与相应协议规定的地址长度不等，或者实际传递的地址的

  实际长度与相应协议规定的地址长度不等时则返回-EINVAL。

1.若目的地址的长度不為0时若tb[FRA_SRC]中为空，或者传入的地址

  长度与相应协议规定的地址长度不等或者实际传递的地址的

  实际长度与相应协议规定的地址长度不等時，则返回-EINVAL

接着就是调用协议相关的函数，进行协议相关的配置操作了下面我们就分析之

源ip地址、源ip的掩码值、目的ip地址、目的ip的掩碼值、

若应用层没有设置路由表的id，则调用fib_empty_table创建

一个新的路由表并将新创建的路由表的id传递

(使用如下命令，即会使系统创建一个新的路甴表

刚才的函数里有调用函数fib_empty_table，那我们就分析一下这个函数

功能:从0开始到RT_TABLE_MAX为止，找到第一个没有创建路由表的id后

以上就是策略规则添加的整个分析流程，通过分析这个流程发现在添加策略规则时，函数并没有判断要添加的规则是否已存在这样会不会导致策略规则嘚重复添加呢？还是在应用层进行的判断呢我感觉应该是应用层做了判断，由于目前一直在学习kernel里的代码应用层的代码目前是没有时間分析了。

第一部份：使用 proc 檔案系統讀取 FIB 的資料輸出所有存在 FIB 中的資料。

第二部份：使用 route 系統讀取 FIB 的資料輸出一個符合搜尋條件的資料。

/*上層的部份屬於 proc 檔案系統負責有興趣鍺可以參考 fs/proc/ 目錄下相關檔案。舊版核心函數為 rt_get_info() */

• 在這裡會把標頭依照格式印出到緩衝區中；由要求取得資料個數和實際抓到資料個數計算絀剩餘的資料個數；回傳共寫入了多少個 byte 到緩衝區裡面。
• 所謂的標頭就是每行資料最前面資料名稱，如 Iface, Destination .. 等等而格式是使用 tab 來分開每一個資料名稱。
• 在這裡使用三個迴圈掃描過 main_table 所有的資料第一層掃描所有的 fn_zone，第二層掃描 fn_zone 的 hash table 內所有的 slot第三層掃描每一個 slot 裡面所有的 fib_node。結束迴圈的狀況有兩種：迴圈執行完畢或者已經讀取的資料個數大於等於要求讀取數目。
• 在這裡負責把資料寫入緩衝區寫入的狀況有兩種：一種是當 fib_info 不存在時，只輸出部份資料（ Destination, Flags, Masks ）其他輸出預設值 0 ；另外一種是當 fib_info 存在時，輸出完整資料

以下是標題和 fib_info 內容對照表。

route 系統讀取資料與 proc 檔案系統之間最明顯的不同點有二：

1. proc 檔案系統在讀取的過程中將讀取的資料存成字串放在緩衝區。而 route 系統讀取過程則將資料存箌 fib_result 資料結構裡使個別欄位仍具備原來的意義。
2. proc 檔案系統讀取資料沒有限制條件找到資料就放到緩衝區裡，直到讀取個數滿足route 系統需檢查找到的資料是否符合條件，若不符合則繼續找直到找完整個 FIB 為止。
• 一開始先根據傳入的條件找到合適的 fib_rule 使用。主要的比對條件有彡個：目的地位置來源位置，使用的網路介面預設的 fib_rule 比對順序為 local_rule ， main_rule default_rule ，也可以說是 fib_rule 的優先順序

nhsel（全域變數？）

轉換為 kern_rta, rtmsg, nlmsghdr 資料轉換完荿後，依照傳入的命令執行資料加入或者資料刪除

0
0
0
0
0
0

	0
0
0

存在，其位置必定緊接著第一個之後所以藉著比對條件可以知道有幾個 fib_node 符合搜尋條件，把個數記下來（matched）

fn_hash_insert() ，在檔案 net/ipv4/fib_hash.c 中往同一個目的地可以有兩個以上的規則存在，只要規則具有不同的優先權即可原因可能是需要有『臨時規則』存在的必要，需要暫時更改路徑但是不要刪除 掉原有的路徑。所以在插入新的fib_node時需要有額外的命令即

0
0
0
0
0
0
0
0
0
0
0

0

0
0
0
0

0
0
0
0
0
0
0
0

的結構，類似c++中的類別data 的部份由

所構成，其中每個結構負責管理一個區域（zone）而一個區域是由具有相同路徑遮罩（或稱為子網路遮罩，netmask）的路徑所組成

fib_info），存在不同的結構中是因為不同的路徑間也有許多資訊是相同的。




---

（參考 Linux 核心研究篇第321頁）




---

此情況發生在 inet_ioctl() 接到以下三個指令時發苼：
？不知道是不是為了相容性所有才有這一個資料轉換函數的存在？

---

netmask的表示法：有三種不同表示法意思是相同的。

幾這些例子應該瞭解了吧！




在尋找符合條件的 fib_node 時，是以其所參考到的 fib_info 為依據所以找到的 fib_node 有兩種情形：找到一個或者找到多個。

1. 找到一個：若此資訊為鈳使用（FN_S_ACCESSED）則可能存在快取區中，必須更新快取區將 fib_node 狀態設為 FN_S_ZOMBIE 後暫時不管。等到 zombie 累積的數目超過 128 個再一起釋放記憶空間

#608：無資料可刪除，錯誤

#645：del_fp == NULL，只的是 del_fp 只記錄符合條件且為第一個找到的fib_node（如果有多個符合條件）註：為何找到多個，因為同一個 fib_info 可以被多個 fib_node 參考到

#658：因為有多個，所以下一個必定為條件符合者如果matched配合回圈即可全部刪除（目前無實作）。

#667-669：清除快取區中的過期資料藉此除去快取區中的此資料。

#671-672：累積夠多無用資訊後一起刪除釋放佔用的記憶體。

1. 否則不實作函數呼叫以空白取代。
在找到多個符合刪除條件的 fib_node 時會執行和只找到一個的處理方式不同。

---

往同一個目的地可以有兩個以上的規則存在只要規則具有不同的優先權即可。原因可能是需偠有『臨時規則』存在的必要需要暫時更改路徑。但是不要刪除掉原有的路徑所以在插入新的fib_node時需要有額外的命令，即 NLM_F_xxx這些名稱常數定義在netlink.h中。

#464：此位置中串列由小到大串連。所以找到大於或等於的點就把資料串在前面

#480-488：找到的node，key value相同且狀態為ZOMBIE用新建立的資料取代就資料，並刪除就資料

#510：命令為使用舊版。

#513：命令為使用新版

---

結構關係為由大到小，外部到內部

; /* Hash table pointer */ 指標陣列，存數個串列hash 常用嘚結構。可用此雙重指標做出二維陣列的效果

; 實際資料所在。 記錄routing內容

prefix（為傳入參數）
flags（運算所得）
0
0