Netlink 套接字详解

Netlink 套接字

1. 什么是 Netlink？

Netlink 是一种特殊的进程间通信（IPC）机制，主要用于Linux 内核与用户空间进程之间的通信，同时也支持用户空间进程之间的通信。

它基于标准的 BSD 套接字接口（Socket API），使用 AF_NETLINK 地址族。这意味着你可以像使用 TCP/IP 套接字一样，使用 socket(), bind(), sendmsg() 和 recvmsg() 等系统调用来与内核进行交互。

2. 为什么要使用 Netlink？

在 Netlink 出现之前，内核与用户态交互通常使用 ioctl, procfs (/proc), sysfs (/sys) 或系统调用。相比之下，Netlink 拥有显著的优势：

• 双向通信与异步通知 ：这是 Netlink 最强大的特性。传统的 ioctl 是同步的，只能由用户发起请求，内核响应。而 Netlink 允许内核主动向用户空间发送消息（例如：网络接口状态改变、防火墙日志、USB 热插拔事件等）。
• 多播（Multicast）机制：内核可以将一条消息广播给属于同一个组（Group）的多个用户进程。这在监控系统中非常有用。
• 标准统一的接口：使用标准的 Socket API，对于熟悉网络编程的开发者来说学习成本很低。所有的 Netlink 协议簇（如路由、防火墙、SELinux）都共用这一套机制。
• 支持大数据量传输 ：相比于 procfs 和 sysfs 并不适合传输大量结构化数据，Netlink 更加高效。
• 无需新增系统调用：添加新的内核功能只需定义新的 Netlink 协议类型，不需要修改 syscall 表。

3. Netlink 协议簇

在使用 socket(AF_NETLINK, SOCK_RAW, protocol) 创建套接字时，protocol 参数指定了具体的用途。常见的协议簇包括：

• NETLINK_ROUTE: 最常用的协议，用于路由表、网络接口、邻居表等的查询和配置（iproute2 工具包如 ip, ss 基于此）。
• NETLINK_KOBJECT_UEVENT: 内核向用户空间发送设备模型事件（udev 使用此协议）。
• NETLINK_NETFILTER: Netfilter/iptables 子系统通信。
• NETLINK_GENERIC: 通用 Netlink 框架，为了解决 Netlink 协议号耗尽问题而设计，允许动态注册协议。

4. 关键数据结构

Netlink 报文有着严格的格式，必须遵守特定的头部结构。

4.1 消息头 (nlmsghdr)

每个 Netlink 消息都必须以 struct nlmsghdr 开头：

struct nlmsghdr {
    __u32 nlmsg_len;    /* 消息总长度，包括头部 */
    __u16 nlmsg_type;   /* 消息类型（如 NLMSG_NOOP, NLMSG_ERROR 等） */
    __u16 nlmsg_flags;  /* 附加标志（如 NLM_F_REQUEST, NLM_F_ACK） */
    __u32 nlmsg_seq;    /* 序列号，用于追踪请求 */
    __u32 nlmsg_pid;    /* 发送端的 Port ID (PID) */
};

• Payload: 紧跟在头部之后的是数据负载。

4.2 地址结构 (sockaddr_nl)

Netlink 使用自己的地址结构来标识通信端点：

struct sockaddr_nl {
    sa_family_t     nl_family;  /* 必须是 AF_NETLINK */
    unsigned short  nl_pad;     /* 目前未用，填充 0 */
    __u32           nl_pid;     /* Port ID */
    __u32           nl_groups;  /* 多播组掩码 */
};

• nl_pid:
  • 对于用户空间 进程，通常设置为进程 ID (getpid())，或者设置为 0 让内核自动分配。
  • 对于内核 ，该字段固定为 0。所以如果用户态想发消息给内核，目标地址的 nl_pid 必须写 0。
• nl_groups: 用于指定多播组。如果是单播通信，设置为 0；如果想加入多播组接收内核广播，则设置对应的位掩码。

5. 通信流程概述

用户空间流程

1. 创建 Socket :

   int sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_MY_PROTO);

2. 绑定地址 (bind) :
   初始化 src_addr (sockaddr_nl)，设置 nl_pid 为当前进程ID，nl_groups 根据需要设置。

   bind(sock_fd, (struct sockaddr*)&src_addr, sizeof(src_addr));

3. 发送消息 (sendmsg) :
   构造 dest_addr，其中 nl_pid 设为 0 (表示发给内核)。构造包含 nlmsghdr 的数据包，调用 sendmsg。

4. 接收消息 (recvmsg) :
   阻塞或非阻塞地接收内核返回的数据。

内核空间流程

1. 创建内核 Socket :
   内核使用特定的 API (如 netlink_kernel_create) 创建 Netlink 实例，通常会注册一个回调函数（input），用于处理接收到的用户消息。
2. 发送单播 (Unicast) :
   使用 netlink_unicast() 将消息发送给指定 pid 的用户进程。
3. 发送多播 (Multicast) :
   使用 netlink_broadcast() 将消息发送给指定 Group 的所有监听进程。

6. Generic Netlink (Genl)

由于标准的 Netlink 协议号（NETLINK_ROUTE 等）是静态定义且数量有限（MAX_LINKS=32），为了扩展方便，引入了 Generic Netlink。

它在 NETLINK_GENERIC 协议之上构建了一个复用层。开发者不需要申请新的顶层 Netlink 协议号，而是向 Genl 框架注册一个"Family"。Genl 简化了复杂的 Netlink 编程，并成为了现代 Linux 内核子系统扩展的首选方式（如 nl80211 无线驱动框架）。

7. 总结

Netlink 是 Linux 系统编程中不可或缺的一部分，特别是在网络管理、系统监控和驱动开发领域。其异步机制 和灵活的消息格式使其成为内核与用户空间通信最现代、最强大的桥梁。