拿起手術(shù)刀 深入剖解路由器的“心臟”技術(shù)

 寬帶上網(wǎng)已經(jīng)不是什么新鮮事情，人們對相關(guān)的網(wǎng)絡(luò)器件已經(jīng)不再陌生，比如說常見的路由器。對于一般的網(wǎng)絡(luò)用戶，他們能知道怎樣使用路由器來上網(wǎng)、玩游戲等就已經(jīng)感到很滿足了，通常情況下對路由器的深層技術(shù)很少去過問研究，但做為興趣廣泛的技術(shù)愛好者，對這方面的知識是非常感興趣的。

但限于各種條件的制約，這些愛好者都非開發(fā)者，很大程度上無法深入了解真正的技術(shù)實現(xiàn)過程以及相關(guān)的核心內(nèi)幕。正是基于此點，筆者憑借自身的知識沉淀，盡最大努力為愛好技術(shù)的讀者架設(shè)一坐能通向深層核心的橋梁，為大家揭開路由器的神秘面紗，剖開其核心內(nèi)臟。為使讀者能清晰明白的理解掌握，筆者盡量將專業(yè)的技術(shù)內(nèi)容轉(zhuǎn)化為容易接受的知識講解，其中可能有不足偏頗之處，還請大家多見諒。

概述

什么是路由器?

互聯(lián)網(wǎng)是依靠路由器連接起來的，路由器是互聯(lián)網(wǎng)或者說IP網(wǎng)絡(luò)的核心設(shè)備。寬帶接入的不斷增長，帶動了路由器的需求不斷增加。

路由器究竟是什么樣的技術(shù)產(chǎn)物?

談到路由器的開發(fā)，我們就不免要談到“嵌入式”設(shè)備的開發(fā)，沒錯，通俗的說，路由器就是一種嵌入式產(chǎn)品。那么究竟什么是嵌入式設(shè)備呢?

其實就目前而言，嵌入式設(shè)備已經(jīng)不斷深入我們的日常生活方方面面。通俗的講，嵌入式設(shè)備是指具有計算機功能，但又不稱為計算機的設(shè)備或器材，它幾乎包括了我們周圍的所有電器設(shè)備:PDA、手機、機頂盒、汽車、微波爐、電梯、安全系統(tǒng)、自動售貨機、醫(yī)療儀器、立體音響、自動取款機等。

用較為專業(yè)的話來表述的話，嵌入式設(shè)備就是使用微處理器或微控制器芯片(MCU)加上外圍電路再加上內(nèi)部的程序部分來實現(xiàn)特定功能的嵌入設(shè)備。比如8位的單片機、32的ARM以及DSP芯片等都屬于嵌入式核心芯片的范疇。8位MCU市場已逐步趨向穩(wěn)定，32位MPU代表著嵌入式技術(shù)的發(fā)展方向，正在加速發(fā)展。在32位嵌入式微處理器市場上，基于ARM內(nèi)核的微處理器在市場上處于絕對的領(lǐng)導地位，因此追蹤ARM技術(shù)的發(fā)展趨勢顯得尤為重要。

路由器的開發(fā)通常都是基于32位處理器的，就通常的中低端路由器而言，在開發(fā)的配置上有多種選擇，比如有ARM9核心芯片+Wince操作系統(tǒng)、ARM7核心芯片+uClinux操作系統(tǒng)、DSP芯片+Vxworks操作系統(tǒng)等等各種各樣的選擇。本文針對常用的SOHO路由器來介紹，選擇ARM7核心芯片+uClinux操作系統(tǒng)開發(fā)模式，以完整形象的實例為大家清晰講解路由器的技術(shù)實現(xiàn)過程。

我們?yōu)槭裁匆許OHO路由器為介紹對象呢?什么是SOHO路由器?前很多家庭中有不止一臺電腦，需要上網(wǎng)獲取信息、收發(fā)郵件等。這些小型公司和家庭網(wǎng)絡(luò)用戶計算機的數(shù)目一般不多，網(wǎng)絡(luò)結(jié)構(gòu)不復雜。功能和帶寬的要求不高。出于提高網(wǎng)絡(luò)性能、共享有限IP地址或節(jié)省上網(wǎng)費用等原因，這些用戶迫切需要具有較高性價比的小型路由器。我們把這種小型路由器稱為SOHO路由器。目前市場上已經(jīng)充斥了大量的這類低端路由器.由于ARM7系列芯片價格便宜，非常適合嵌入式系統(tǒng)使用。目前市場上的SOHO路由器大多采用ARM7系列處理器。不過由于技術(shù)的發(fā)展，ARM9系列的專用路由芯片的路由器也逐漸普及。

路由器宏觀介紹

我們可以形象的把嵌入式設(shè)備的開發(fā)簡單的理解成三層模式，最底層的是微控制器芯片加外圍器件組成的硬件系統(tǒng)，比如我們介紹的開發(fā)小型SOHO路由器所使用的ARM7TDMI芯片等硬件環(huán)境，它是設(shè)備功能實現(xiàn)的硬件基礎(chǔ)，要實現(xiàn)上層的應用肯定離不開最底層硬件的支持。中間層是操作系統(tǒng)，比如我們所選擇的uClinux操作系統(tǒng)，它是銜接硬件部分和應用程序的過渡層，它既可以完成對底層硬件的基本操作，又能為上層應用程序提供運行環(huán)境支持。最上層自然就是應用程序?qū)恿?，它是實現(xiàn)針對性應用的程序代碼部分，比如路由設(shè)置等功能程序部分。

那對與SOHO路由器來說，它當然也脫離不了這樣的技術(shù)框架，它的更為具體的實現(xiàn)過程簡單的匯總的話，莫過于如下內(nèi)容：

首先先要知道SOHO實現(xiàn)的網(wǎng)絡(luò)功能，典型路由器應該具備以下功能:

支持PPPoE，固定IP上網(wǎng);

DHCP動態(tài)主機配置協(xié)議;

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù);

根據(jù)TCP，UDP的端口號(port number)，IP 的(協(xié)議號)protocol number，對IP地址進行簡單過濾的防火墻;

虛擬服務(wù)主機/端口映射(Port Forwarding)技術(shù);

支持一定數(shù)量的特殊應用程序;

然后針對于上邊的功能要求，相應地要通過硬件和軟件的構(gòu)造來實現(xiàn)：

硬件方面：

1、要明確家用小型路由器(一個WAN接口，四個LAN接口)的硬件原理。

2、實現(xiàn)硬件電路板設(shè)計，完成電路布線設(shè)計，并對元件焊接，通過硬件板的調(diào)試。

軟件方面：

1、在分析 uClinux內(nèi)核源代碼的基礎(chǔ)上，對uClinux操作系統(tǒng)的內(nèi)核裁剪。

2、完成BoaWeb服務(wù)器的配置，并對CGI腳本進行設(shè)計，完成動態(tài)網(wǎng)頁的功能。

3、對PPPOE的撥號進行配置實現(xiàn)。

4、針對Linux內(nèi)核防火墻部分，運用IPtable工具進行防火墻規(guī)則操作。

通過如上的基本構(gòu)造，一個路由器就基本成型了。說起來簡單，但其中包含了很多很多的技術(shù)細節(jié)，要有大量的實踐經(jīng)驗才能真正實現(xiàn)。做為門外觀奇的好學讀者，現(xiàn)在肯定有些不耐煩了吧，想要了解更多的更詳細的構(gòu)造內(nèi)容吧?那好，現(xiàn)在就可以開始我們真正的技術(shù)之旅了。

路由器工作原理

1、基本原理

要實 現(xiàn) 網(wǎng) 絡(luò)中通信節(jié)點彼此之間的通信，首先必須給每個節(jié)點分配一個唯一的IP地址。路由器應該至少有兩個網(wǎng)絡(luò)端口，分別連接LAN或者WAN子網(wǎng)上，每個端口必須具有一個唯一的IP地址，并且要求與所連接IP子網(wǎng)的網(wǎng)絡(luò)號相同。不同的端口有不同的網(wǎng)絡(luò)號，對應不同的IP子網(wǎng)，這樣各子網(wǎng)中的主機才能通過自己子網(wǎng)的IP地址把要求發(fā)出去的IP數(shù)據(jù)報送到路由器上。

當路由器收到一份IP數(shù)據(jù)報后，首先要對該報文進行判斷，然后根據(jù)判斷的結(jié)果做進一步的處理。如果數(shù)據(jù)報是有效或正確的，路由器就根據(jù)數(shù)據(jù)報的目的IP地址轉(zhuǎn)發(fā)該報文:否則就把報文丟棄。如果這個數(shù)據(jù)報的目的IP地址與路由器直接相連的一個子網(wǎng)上，路由器會通過相應的接口把報文轉(zhuǎn)發(fā)到目的子網(wǎng)上去;否則會把它轉(zhuǎn)發(fā)到下一跳(Hop)路由器。為了完成上述的操作，每臺路由器必須維護一個路由表。把對應不同目的地的最佳路徑存放在路由表中，這就是路由策略(Routing Policy)問題。路由表反映網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，一般一條表項應該包含數(shù)據(jù)報的目的IP地址(通常是目的主機所在網(wǎng)絡(luò)的地址)、下一跳路由器的地址和相應的網(wǎng)絡(luò)接口等，在網(wǎng)絡(luò)拓撲發(fā)生變化的時候，路由表也應該做相應的變動。所以路由器必須能夠生成并更新路由表。[!--empirenews.page--]

選路機制實際上就是如何查找路由表，通過查詢路由表來決定向哪個方向轉(zhuǎn)發(fā)數(shù)據(jù)。一般來說，路由器首先搜索匹配的主機地址:如果沒有，再搜索匹配的網(wǎng)絡(luò)地址:最后搜索默認路由。一旦查到匹配的表項，路由器就會把數(shù)據(jù)從相應的接口發(fā)送出去。

路由器具備了上述各要素后，就可以完成數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)了。另外，路由器不僅負責對IP包的轉(zhuǎn)發(fā)，還要負責與別的路由器進行聯(lián)絡(luò)，共同確定互聯(lián)網(wǎng)的路由選擇和路由表的更新維護。

2、SOHO路由器原理

當內(nèi)部計算機要與外部Internet網(wǎng)絡(luò)進行通信時，各內(nèi)部間通過私有IP地址進行通信的計算機必須把私有IP地址轉(zhuǎn)換成合法IP。這種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)稱為NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)。在一個實際的私有網(wǎng)絡(luò)中，NAT功能通常內(nèi)建在路由器、防火墻或獨立的NAT設(shè)備之上，網(wǎng)絡(luò)中的主機將這些設(shè)備作為自己的默認網(wǎng)關(guān)。通過這樣的配置，每一臺內(nèi)部主機發(fā)送往Internet的數(shù)據(jù)報就會送到具有NAT功能的設(shè)備中進行轉(zhuǎn)換。NAT是SOHO路由器的必備功能，它是為解決IPv4地址不夠分配的矛盾而產(chǎn)生的一個簡單高效的解決方案。它能將任何兩個地址域的地址進行轉(zhuǎn)換，使私有網(wǎng)絡(luò)中多臺主機共享一個合法IP地址訪問Internet。

嵌入式路由器硬件系統(tǒng)介紹

1、硬件系統(tǒng)總體結(jié)構(gòu)

硬件結(jié)構(gòu)是非常重要的部分，因為我們拆開一個路由器后首先看到的、所能看到的也就是硬件結(jié)構(gòu)，我們就舉例簡單介紹一下硬件設(shè)計的各個部位的細節(jié)內(nèi)容。

為了宏觀查看，我們給出交換式寬帶路由器的硬件設(shè)計實例圖一張。圖中主要分為兩部分:

ARM4510B部分和交換芯片RTL8305部分，前者主要見上半圖，后者為下半圖。還有電源及各自的復位電路。

ARM4510B部分中，中央處理芯片為帶有網(wǎng)絡(luò)接口的S3C4510B--16/32位RISC微控制器，根據(jù)嵌入式操作系統(tǒng)的運行需要，擴展了SDRAM存儲器和Flash存儲器。SDRAM存儲器由兩片4X1MX16位的HY57V641620HGT

組成，作為嵌入式操作系統(tǒng)內(nèi)核及應該程序運行的內(nèi)存空間。Flash存儲器由一片1MX16位的SS139VF160組成，作為內(nèi)核映像的存儲，并在嵌入式操作系統(tǒng)啟動時加載系統(tǒng)內(nèi)核及程序。根據(jù)調(diào)試程序及燒寫Flash存儲器的需要，引出JTAG接口。根據(jù)顯示調(diào)試和運行信息的需要，提供了RS232接口。交換芯片 RTL8305部分中，提供4個LAN口(PORTO--PORT3)通過一四口的網(wǎng)絡(luò)隔離變壓器連接一個四口RJ45口，每個口可連接到10/10013aseT以太網(wǎng)，各端口之間有交換功能:還有一個WAN接口(CPO RT4)通過一單口的隔離變壓器連接RJ45口。根據(jù)顯示連接速度、狀態(tài)和電源等需要，接出LED燈進行顯示。根據(jù)交換芯片的管理需要，提供一串行EEPROM 24C01電路接口。根據(jù)交換芯片的主電源為2.5V.提供一個3.3V到2.5V的轉(zhuǎn)換器。

中央處理芯片通過MR(獨立媒體接口)接口與交換芯片RTL8035SB的PORT4的Mil接口相聯(lián)，將交換芯片的PORT4配置為物理層接收器。

當各部分電路設(shè)計完成后，形成硬件連接圖，進而焊接之后，就可以作為開發(fā)用的實驗硬件板了。下面就簡要介紹一下個硬件電路部分。

2、硬件系統(tǒng)的簡要設(shè)計介紹

⑴ARM處理器系統(tǒng)設(shè)計介紹

①S304510B概述

Samsung公司的S34510B是基于以太網(wǎng)應用系統(tǒng)的高性價比的16/32位RISC微控制器，內(nèi)含一個由ARM公司設(shè)計的16/32位的ARM7TDMI RISC處理器核。ARM7TDMI為低功耗，高性能的16/32位核。

除了ARM7TDMI外，該芯片還有一些片內(nèi)外圍功能模塊，主要為: 內(nèi)部RAM (8Kbyte unified cache/SRAM)，I2 C接口電路(I2C interface)、以太網(wǎng)控件器(Ethernetco ntroller)，HDLC，GDMA、串口(UART)，時鐘(Timers)、可編程1/O口(Programmable I/O ports)及中斷控件器(Interrupt controller)等。

S3C4510B結(jié)構(gòu)框圖所示。在實際運行過程中最主要用到的部分為:以太網(wǎng)接口及串口部分，前者用于收發(fā)以太包，后者主要作為操作系統(tǒng)調(diào)試接口。

②ARM 處理器系統(tǒng)電源電路和復位電路

主要是實現(xiàn)供電和復位功能，電路部分不做詳細講解，有深入研究需要的愛好者可以查看相關(guān)的電子相關(guān)參考資料進行深入學習。為使文章通俗易懂，以下各電路部分也是做一宏觀介紹，細節(jié)部分包括電路布線等不再深入講解。

③ARM處理器與Flash存儲器接口電路

讀者只要知道這部分的電路連接是為實現(xiàn)能在Flash存儲器編寫程序即可。

④ARM處理器與SDRAM接口電路設(shè)計介紹

與 Flash存儲器相比，SDRAM不具有掉電保持數(shù)據(jù)的特性，但其存儲速度大大高于Flash存儲器，且具有讀/寫屬性。因此SDRAM在系統(tǒng)中主要用于程序的運于空間、數(shù)據(jù)及堆棧。當系統(tǒng)啟動時，CPU首先從復位地址0x0片讀取啟動代碼，在完成系統(tǒng)的初始化后，程序代碼調(diào)入SDRAM中運行，以提高系統(tǒng)的運行速度。

SDRAM 具有單位空間存儲量大和價格便宜的特點，廣泛用于各種嵌入式系統(tǒng)中。SDRAM 的存儲單元可以理解為一個電容，總是傾向于放電，為了避免數(shù)據(jù)丟失，必須定時刷新(充電)。因此，在系統(tǒng)中使用SDRAM，就要求微處理器有刷新的控制邏輯或者在系統(tǒng)中另外加刷新控制邏輯電路。S3C4510B在片內(nèi)具有獨立的SDRAM刷新控制邏輯，可以方便的與SDRAM接口。

⑤ARM處理器串行接口電路設(shè)計介紹

幾乎所有的微控件器、PC都提供串行接口，使用美國電子工業(yè)協(xié)會(EIA)推薦的RS-232-C接口標準，這是一個很常用的串行數(shù)據(jù)傳輸總線接口標準。早期被用于計算機和終端通過電話線和MODEM進行遠距離的數(shù)據(jù)傳輸，隨著微型計算機和微控制器的發(fā)展，不僅在遠距離，近距離也采用了該通信方式。在近距離的通信中不采用電話線和MODEM，而是直接進行端到端的連接。

RS-232-C標準采用的是9芯或是25芯的D型插頭。

⑥ARM處理器JTAG接口電路設(shè)計介紹

JTAG(JointTe stAc tionG roup，聯(lián)合測試行動小組)是一種國際標準測試協(xié)議，主要用于芯片內(nèi)部測試及系統(tǒng)進行仿真、調(diào)試。JTAG是一種嵌入式調(diào)試技術(shù)，它在芯片內(nèi)部封裝了TAP(Test Access Port，測試訪問接口)，通過專用的JTAG測試工具對內(nèi)部節(jié)點進行測試.標準的JTAG接口是四線:TMS、TCK、TDI、TDO，分別為測試模式選擇、測試時鐘、測試數(shù)據(jù)輸入、測試數(shù)據(jù)輸出。JTAG測試允許多個器件通過JTAG接口串聯(lián)在一起，形成一個JTAG鏈，能實現(xiàn)以各個器件分別測試。JTAG接口還常用于ISP(In System Programmable)功能，如對Flash器件進行編程。[!--empirenews.page--]

⑵以太網(wǎng)交換電路設(shè)計介紹

以太網(wǎng)交換電路主要是采用五口交換芯片RTL8305SB來實現(xiàn)。RTL8305SB是一個集成了片內(nèi)存儲器，五個MAC層接口，五個物理層(PHY)接口的l0M/l00M自適應的五口交換芯片，該集成芯片具有低功耗，可靈活配置為五口小型辦公及家用(SOHO)交換機，家用網(wǎng)關(guān)，xDSL路由器及其它智能應用。要實現(xiàn)必要的網(wǎng)絡(luò)功能，這部分的電路是關(guān)鍵中的關(guān)鍵。

操作系統(tǒng)介紹

1、Linux

Linux是一個誕生于網(wǎng)絡(luò)，成長于網(wǎng)絡(luò)且成熟于網(wǎng)絡(luò)的奇特的操作系統(tǒng)。1991年，芬蘭大學生Linus Torvalds萌發(fā)開發(fā)了一個自由的UNIX操作系統(tǒng)的想法，并將Linux通過Internet進行發(fā)布。從此一大批編程人員加入到開發(fā)過程中來，Linux逐漸成長起來。Linux一開始要求所有的源代碼必須公開，后來轉(zhuǎn)向GPL( GNUG eneral Public Licence)，成為GUN的陣營的主要一員。只要遵守GPL的規(guī)定，就可以免費獲得復制，因此Linux是一個免費軟件。同樣，Linux下遵循GPL規(guī)定的C， C++， Java等一系列的工具開發(fā)包，從功能的角度上看并不亞于商用的開發(fā)包，但卻可以極大的降低開發(fā)成本，這一優(yōu)勢是其它商用操作系統(tǒng)無法比擬的。

Linux 操作系統(tǒng)最突出的是網(wǎng)絡(luò)部分，基本上所有的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)接口都可以在Linux上找到，Linux的內(nèi)核比標準的UNIX處理網(wǎng)絡(luò)協(xié)議更加高效，系統(tǒng)的網(wǎng)絡(luò)吞吐性能更好，這也是Linux網(wǎng)絡(luò)服務(wù)器市場上占據(jù)較大的市場分額的重要原因。對于一般的小型的SOHO路由器，Linux的網(wǎng)絡(luò)技術(shù)無疑是其開發(fā)運行的最佳選擇，Linux完全能對給其提供全方位的網(wǎng)絡(luò)技術(shù)支持。Linux作為互聯(lián)網(wǎng)的產(chǎn)物，許多關(guān)于Linux的文檔可以在Internet上下載到。

2、uClinux操作系統(tǒng)

uclinux是嵌入式Linux的一個分支，在uClinux這個英文單詞中u表示Micro，小的意思，C表示Control，控制的意思，所以uclinux就是Micro-Control-Linux，字面上的理解就是“針對微控制領(lǐng)域而設(shè)計的Linux系統(tǒng)”。同標準的Linux相比，由于uClinux自身不支持MMU，多任務(wù)的實現(xiàn)就需要技巧了。但是，在uClinux上運行的絕大多數(shù)的用戶程序并不需要多任務(wù)。另外，針對uclinux內(nèi)核的二進制代碼和源代碼都是經(jīng)過了重新編寫，以緊縮和裁剪基本的代碼。這就使得uClinux的內(nèi)核同標準的Linux內(nèi)核相比非常之小，但是它仍保持了Linux操作系統(tǒng)的主要的優(yōu)點，如穩(wěn)定性、強大的網(wǎng)絡(luò)功能和出色的文件系統(tǒng)支持等。uclinux包含Linux常用的API、小于512K的內(nèi)核和相關(guān)的工具。操作系統(tǒng)所有的代碼加起來小于900KB。

uClinux簡介

uClinux的基本架構(gòu)

在PC機上開發(fā)應用程序的用戶都會有這樣的感覺，PC機有完善的操作系統(tǒng)并提供應用程序接口(API)，開發(fā)好的應用程序可以直接在操作系統(tǒng)上運行。雖然嵌入式系統(tǒng)的應用程序完全可以在裸板上運行，但為了使系統(tǒng)具有任務(wù)管理、定時器管理、存儲器管理、資源管理、事件管理、系統(tǒng)管理、消息管理、隊列管理和中斷處理的能力，提供多任務(wù)處理，更好的分配系統(tǒng)資源的功能，用戶就需要針對自己的硬件平臺和實際應用選擇適當?shù)那度胧讲僮飨到y(tǒng)(Embedded Operating System，以下簡稱EOS)。

由于本文實例中的硬件平臺是以不含MMU (Memory Management Unit，內(nèi)存管理單)的S3C4510B為核心的，因此采用不帶MMU的ARM 微處理器的嵌入式操作系統(tǒng)uclinux。uclinux 是一個完全符合GNUIGPL公約的操作系統(tǒng)，完全開放代碼，現(xiàn)在由Line。公司支持維護。uClinux從Linux 2.0(2.4內(nèi)核派生而來，沿襲了主流Linux的絕大部分特性。它是專門針對沒有MMU的CPU，并且為嵌入式系統(tǒng)做了許多小型化的工作.適用于沒有虛擬內(nèi)存或內(nèi)存管理單元(MMU )的處理器，例如ARM7TDMI。

它通常用于具有很少內(nèi)存或Flash的嵌入式系統(tǒng)。uclinux是為了支持沒有MMU的處理器而對標準Linux作出的修正。它保留了操作系統(tǒng)的所有特性，為硬件平臺更好的運行各種程序提供了保證。在GNU通用公共許可證(GNU GPL)的保證下，運行uClinux操作系統(tǒng)的用戶可以使用幾乎所有的Linux API函數(shù)，不會因為沒有MMU而受到影響。由于uClinux在標準的Linux基礎(chǔ)上進行了適當?shù)牟眉艉蛢?yōu)化，形成了一個高度優(yōu)化的、代碼緊湊的嵌入式Linux，雖然它的體積很小，uClinux仍然保留了Linux的大多數(shù)的優(yōu)點:穩(wěn)定、良好的裁剪性、優(yōu)秀的網(wǎng)絡(luò)功能、完備的對各種文件系統(tǒng)的支持、以及標準豐富的API等。

BootLoader:負責uCLinux內(nèi)核的啟動，它用于初始化系統(tǒng)資源，包括SDRAM。這部分代碼用于建立uCLinux內(nèi)核運行環(huán)境和從Flash中裝載初始化內(nèi)核鏡象。

內(nèi)核初始化:uCLinux內(nèi)核的入口點是start kernel() 函數(shù)。它初始化內(nèi)核的其他部分，包括捕獲，IRQ通道，調(diào)度，設(shè)備驅(qū)動，標定延遲循環(huán)，最重要的是能夠fork "init"進程，以啟動整個多任務(wù)環(huán)境。

系統(tǒng)調(diào)用函數(shù)/捕獲函數(shù):在執(zhí)行完“init”程序后，內(nèi)核對程序流不再有直接的控制權(quán)，此后，它的作用僅僅是處理異步事件(例如硬件中斷)和為系統(tǒng)調(diào)用提供進程。

設(shè)備驅(qū)動 :設(shè)備驅(qū)動占據(jù)了uCLinux內(nèi)核很大部分。同其他操作系統(tǒng)一樣，設(shè)備驅(qū)動為它們所控制的硬件設(shè)備和操作系統(tǒng)提供接口。

文件系統(tǒng) :uCLinux最重要的特性之一就是對多種文件系統(tǒng)的支持。這種特性使得uCLinux很容易地同其他操作系統(tǒng)共存。文件系統(tǒng)的概念使得用戶能夠查看存儲設(shè)備上的文件和路徑而無須考慮實際物理設(shè)備的文件系統(tǒng)類型。ucLinux透明的支持許多不同的文件系統(tǒng)，將各種安裝的文件和文件系統(tǒng)以一個完整的虛擬文件系統(tǒng)的形式呈現(xiàn)給用戶。uClinux帶有一個完整的TCP/IP協(xié)議，同時它還支持許多其他網(wǎng)絡(luò)協(xié)議。uclinux對于嵌入式系統(tǒng)來說是一個網(wǎng)絡(luò)完備的操作系統(tǒng)。

3、uClinux開發(fā)環(huán)境

⑴GNU開發(fā)套件

GNU軟件包括C編譯器GCC，C ++編譯器G++，匯編器AS，鏈接器LD，二進制轉(zhuǎn)換工具(OBJCOPY，OBJDUMP)，調(diào)試工具(GDB.GD BSERVER，KGDB)和基于不同硬件平臺的開發(fā)庫。在GNU GCC支持下用戶可以使用流行的C/C++語言開發(fā)應用程序，滿足生成高效率運行代碼、易掌握的編程語言的用戶需求，這些工具都是按GPL版權(quán)聲明發(fā)布，任何人可以從網(wǎng)上獲取全部的源代碼，無需任何費用。[!--empirenews.page--]

關(guān)于GNU和公共許可證協(xié)議的詳細資料，讀者可以參看GNU網(wǎng)站的介紹，http://www，gnu.oTgfhDmc.html。GNU開發(fā)套件作為通用的Linux開放套件，包括一系列的開發(fā)調(diào)試工具。GNU開發(fā)工具都是采用命令行的方式，用戶掌握起來相對比較困難，不如基于Windows系統(tǒng)的開發(fā)工具好用，但是GNU工具的復雜性是由于它更貼近編譯器和操作系統(tǒng)的底層，并提供了更大的靈活性。一旦學習和掌握了相關(guān)工具后，就了解了系統(tǒng)設(shè)計的基礎(chǔ)知識。運行于Linux操作系統(tǒng)下的自由軟件GNU gcc編譯器，不僅可以編譯Llnux操作系統(tǒng)下運行的應用程序，還可以編譯Linux內(nèi)核本身，甚至可以作交叉編譯，編譯運行于其它CPU上的程序。所以，在進行嵌入式系統(tǒng)應用程序開發(fā)時，這些工具得到了日益廣泛的應用。

⑵uCIinux的打印終端

通常情況下，uClinux的默認終端是串口，內(nèi)核在啟動時所有的信息都打印到串口終端(使用printk函數(shù)打印)，同時也可以通過串口終端與系統(tǒng)交互。uClinux在啟動時啟動了telnetd(遠程登錄服務(wù))，操作者可以遠程登錄上系統(tǒng)，從而控制系統(tǒng)的運行。至于是否允許遠程登錄可以通過燒寫romfs文件系統(tǒng)時由用戶決定是否啟動遠程登錄服務(wù)。

⑶交叉編譯調(diào)試工具

支持一種新的處理器，必須具備一些編譯，匯編工具，使用這些工具可以形成可運行于這種處理器的二進制文件。對于內(nèi)核使用的編譯工具同應用程序使用的有所不同。

路由器軟件系統(tǒng)的設(shè)計過程

uClinux 操作系統(tǒng)提供了嵌入式Web服務(wù)器、PPPOE拔號軟件、基于IPTable過濾防火墻等功能模塊的源代碼。路由器軟件系統(tǒng)的設(shè)計包括uClinux操作系統(tǒng)的裁剪、基于uClinux操作系統(tǒng)提供的以上功能模塊源代碼下的修改和設(shè)計，從而實現(xiàn)本路由器的嵌入式Web服務(wù)器、PPPOE拔號軟件、基于IPTable過濾防火墻。

1、uClinux操作系統(tǒng)裁剪

⑴裁剪前準備

uclinux的裁剪牽涉到對目標的硬件支持問題。要讓uClinux支持一個新硬件體系，要做的第一件事情就是收集和構(gòu)建代碼的工具。然后就可以裁減和編譯內(nèi)核。一旦內(nèi)核支持基本的處理器功能，它就可以運作了，但是如果缺乏驅(qū)動程序的支持，就起不了多大作用。典型的驅(qū)動程序集合中包括了諸如控制臺終端、基本串行設(shè)備和一個可能包含了根文件系統(tǒng)的塊設(shè)備的驅(qū)動等。

在這里主要介紹針對我們剛才介紹的實例系統(tǒng)采用的uClinux裁剪方法。本實例中的宿主機上裝redhat9操作系統(tǒng)，因為redhat9具備安裝uClinux交叉編譯工具時所需要的庫。

首先必須在redhat9下建立uclinux開發(fā)環(huán)境，建立uclinux開發(fā)環(huán)境的方法有很多，而且也十分方便?？梢詮膆ttp://www.uClinux.org處下載最新的uClinux的源代碼、最新的gcc3的工具鏈，不過針對于不同的工具鏈在不同的操作系統(tǒng)下，以及目標板的MCU的不一樣，可能在編譯內(nèi)核時會產(chǎn)生錯誤，在這里，我講解實例所使用的不是最新版本的。同樣的，針對不同的硬件開發(fā)環(huán)境要對uClinux源代碼進行不同的適當修改，修改部分通常是以代碼補丁形式實現(xiàn)的，一般網(wǎng)絡(luò)上會有各種通用模式的補丁提供使用。好了，切入正題，有了齊全的軟件包后，安裝過程如下:

(1) 下載內(nèi)核和工具包

內(nèi)核包 : uClinux-disc-200408.tar.gz

補丁文件:uClinux-disc-200408.patch

uclinux的源代碼和文件系統(tǒng)的源代碼，軟件包后的數(shù)字代表完成的日期。

工具鏈 : arm-elf-gcc-200403.sh

(2) 安裝工具包

sh arm -elf-gcc-200403.sh

(3) 解壓縮內(nèi)核

tar -xzvfuClinux-dist-200408.tar.gz，生成uClinux-disk目錄。

(4)安裝補丁:

將補丁文件復制到uClinux-disk目錄下，進入該目錄，在Shell命令中使用如下命令:

patch -pl-f

⑵內(nèi)核的編譯和生成

執(zhí)行以下命令可以進行uClinux編譯：

make xconfig。具體的編譯選項配置過程本文不做詳細介紹。但在此給出編譯的一些基本思想：

ucLinux作為一個自由軟件，在廣大愛好者的支持下，內(nèi)核版本不斷更新。新的內(nèi)核修訂了舊內(nèi)核的bug，并增加了許多新的特性。如果用戶想要使用這些新特性，或想根據(jù)自己的系統(tǒng)度身定制一個更高效，更穩(wěn)定的內(nèi)核，就需要重新編譯內(nèi)核。

為了正確的合理地設(shè)置內(nèi)核編譯配置選項，從而只編譯系統(tǒng)需要的功能的代碼，一般主要有下面四個考慮:

自己定制編譯的內(nèi)核運行更快(具有更少的代碼)。

系統(tǒng)將擁有更多的內(nèi)存(內(nèi)核部分將不會被交換到虛擬內(nèi)存中)。

不需要的功能編譯進入內(nèi)核可能會增加被系統(tǒng)攻擊者利用的漏洞。

將某種功能編譯為模塊方式會比編譯到內(nèi)核內(nèi)的方式速度要慢一些。

在此需要補充說明的是內(nèi)核編譯的目的是為了創(chuàng)建一個能夠放置在flash上支持flash讀取的完成要求功能的內(nèi)核，同時也是flash讀取步驟其中一步。對uCLinux的內(nèi)核進行配置和創(chuàng)建要對uCLinux內(nèi)核的版本進行選擇:uCLinux內(nèi)核的版本號有三種:主號、次號、修訂號。以2.4.10為例一般來說，主號如目前的2是很穩(wěn)定的。主號的變動說明了操作系統(tǒng)發(fā)生了很大的變動。次號如目前的.4，用來說明內(nèi)核的穩(wěn)定性。當次號為偶數(shù)號((0，2， 4， 6) 時，表明現(xiàn)在的內(nèi)核的穩(wěn)定性強，而當次號為奇數(shù)號(1，3， 5) 時，表明現(xiàn)在的內(nèi)核處于測試的階段，其穩(wěn)定性值得考慮，如果你使用次號為奇數(shù)號的內(nèi)核進行配置和創(chuàng)建時、就值得三思而行了。而修訂號的發(fā)表比較的頻繁，它主要是用來對前面的版本進行修補。開發(fā)新的版本和修改以前的版本是同時進行的，很有可能修改的修訂版本在新的版本出來之后。

依次執(zhí)行以下命令完成uClinux的編譯過程：

cd/usr/local/src/uclinux=dist

make dep

make clean

make lib_only

make user_only

make romfs

make image

最終在image目錄下生成2個文件：

zImage——uClinux內(nèi)核2.4.x的壓縮方式可執(zhí)行映象文件;

romfs——文件系統(tǒng)的映象文件。

這就是我們要用來燒錄到硬件板內(nèi)的最終文件了。具體燒寫可以通過使用專用的燒寫工具來實現(xiàn)，燒寫過程一定要參照燒寫工具的說明要求來進行。

[!--empirenews.page--]

其中zImage已經(jīng)包含了文件系統(tǒng)映象文件，通常直接燒寫到Flash文件上即可執(zhí)行了。當然在這之前要進行BootLoader的燒錄， BootLoader其實就是一個引導程序，主要作用就是初始化系統(tǒng)，進而來引導操作系統(tǒng)。在嵌入式系統(tǒng)中，處理器上電后首先執(zhí)行的一段代碼就是BootLoader，BootLoader與硬件密切相關(guān)，其代碼主要用C和匯編語言寫成，不同的系統(tǒng)中，BootLoader的功能有所不同，但主要作用還是差不多的，主要有下面幾點：

初始化微控制器MCU運行的時鐘頻率;

初始化Flash和內(nèi)存的數(shù)據(jù)寬度，讀/寫訪問周期和刷新周期;

初始化中斷系統(tǒng);

初始化系統(tǒng)中各種片內(nèi)、片外設(shè)備和I/O端口設(shè)備;

初始化系統(tǒng)各種運行模式下的寄存器和堆棧;

加載和引導操作系統(tǒng);

BLOb是BootLoaderObject的縮寫，它是一個功能強大、源代碼公開的自由軟件，它已經(jīng)實現(xiàn)了對多種處理器芯片的Linux 引導支持。對ARM7等核心的BootLoader支持版本可以到專業(yè)網(wǎng)站上進行下載，并稍微做適當修改來滿足開發(fā)應用中的硬件環(huán)境要求即可，在此我們不做過多講述。

上面所講述的內(nèi)核編譯過程只是比較寬泛的、籠統(tǒng)的操作過程，也就是說只是基本的操作過程，而在真正的路由功能實現(xiàn)過程中，還要對內(nèi)核進行多種設(shè)置編譯，比如說對硬件系統(tǒng)中設(shè)計到的部件進行驅(qū)動配置安裝等，當然，這些并不是特別難的操作技術(shù)，再比如我們下面就要講到的內(nèi)容，這可就是很有挑戰(zhàn)性的核心技術(shù)了，這些都是針對內(nèi)核進行技術(shù)性操作來實現(xiàn)特定的網(wǎng)絡(luò)功能。

內(nèi)核編譯核心部分

1、文件系統(tǒng)分析

文件系統(tǒng)是uClinux操作系統(tǒng)的重要組成部分，uClinux文件系統(tǒng)是操作運行的基礎(chǔ)。許多嵌入式系統(tǒng)在不存在磁盤的情況下也可以運行。文件系統(tǒng)可以隨同內(nèi)核一起被打包并在啟動時作為一個文件系統(tǒng)的映像被加載。對一個簡單的應用系統(tǒng)來說，這己足夠了。文件系統(tǒng)可以存放在一個傳統(tǒng)磁盤中，但也可以存放在非易失性的存儲介質(zhì)— 閃存中。閃存有一個引導塊，它存放了CPU上電后運行的第一個軟件，這個軟件可以是uclinux的引導程序，也可以是自己編的bootloader。uClinux的內(nèi)核可以被引導程序從閃存中拷貝到RAM中全速運行。閃存也可以作為文件的存儲介質(zhì)，必要時寫入一些需要保存的數(shù)據(jù)。

uClinux支持NFS(Network File System)，它允許通過網(wǎng)絡(luò)加載各種應用程序。由于用在每一個嵌入式系統(tǒng)上的軟件可以從一個公用的服務(wù)器上加載，這在控制軟件的修訂或升級中是很重要的.在系統(tǒng)運行的過程中，導入和導出數(shù)據(jù)、配置、狀態(tài)信息的備份也很重要。對用戶監(jiān)控而言，這是一個非常強大的功能。例如，一個嵌入式系統(tǒng)可能裝配了一個RAM DISK，它包含著與系統(tǒng)當前狀態(tài)的更新維持一致的(狀態(tài))文件。那么別的嵌入式系統(tǒng)僅需通過網(wǎng)絡(luò)把這個RAM DISK作為遠程磁盤mount過來便可以訪問那些位于遠端RAM DISK中的狀態(tài)文件。這也允許在另一臺機器上的WEB服務(wù)器借助簡單的CGI腳本來訪問那些狀態(tài)信息。運行在其他機器上的應用程序包能夠很容易地訪問這些數(shù)據(jù)。uClinux操作系統(tǒng)根據(jù)不同的安裝選擇可以生成不同的文件系統(tǒng)。系統(tǒng)中提供了十分豐富的文件系統(tǒng)以供不同需要的用戶選擇。每種類型的文件系統(tǒng)的基本塊大小、優(yōu)化分配策略、一次傳送的數(shù)據(jù)長度等等都是相互匹配的，使得本類文件系統(tǒng)均有相應的最佳性能。

2、嵌入式Web服務(wù)器

對uClinux操作系統(tǒng)下嵌入式Web技術(shù)的實現(xiàn)主要用于用戶可以通過網(wǎng)

頁方式來管理路由器。

⑴uClinux下Web Server的實現(xiàn)

uClinux下，主要有三個WebServer:htpd，thttpd和Boa。Httpd是最簡單的一個Web Server，它的功能最弱，不支持認證，不支持CGI。Thttpd和Boa都支持認證、CGI等，功能都比較全。為了實現(xiàn)動態(tài)Web技術(shù)，這里我們選擇實現(xiàn)一個支持CGI的、非常適合于嵌入式系統(tǒng)的Boa Web Server。Boa是一個單任務(wù)的http服務(wù)器，源代碼開放、性能高。目前，uClinux的代碼中已經(jīng)包含boa的源代碼，在uClinux下實現(xiàn)Boa，需要對Boa做一些配置和修改。這主要通過對boa.conf和mime.types文件進行修改來實現(xiàn)，需要改動的配置有以下幾項：

①建目錄

由于uClinux默認的根文件系統(tǒng)romfs是只讀的，不能用mkdir等命令來新建目錄，故應在編譯內(nèi)核前先建好要用到的目錄，這通過修改

/uclinux-samsung/vendors/Samsung/4510b/makefile文件來實現(xiàn)。在ROWFS_DIRS=bin dev etc home lib mnt proc usr var的后邊增加home/webhome/web/cgi-bin，這樣修改后編譯內(nèi)核，編譯好的根文件系統(tǒng)romfs中就包含這些目錄了。

②指定Web 服務(wù)器的根目錄路徑(SERVER ROOT)

進入 /uclinux-samsung/user/boa/src/目錄，通過修改define.h文件中#define ERVER ROOT "/home”語句來指定SERVER ROOT。另外，還可以通過命令行來指定，例如:boa-c/home/&。而且命令行指定的SERVER ROOT可以覆蓋define.h文件所指定的。

③修改boa.conf文件

在. /uclinux-samsung/user/boa/src/boa.conf里修改:

*將 user obody和Group ogroup改為User0 和Group0 ;

*將 DocumentRoot/var/www改為DocumentRoot/home/web，這樣web服務(wù)器的文檔根目錄為/home/web;

*將 MimeTypes/eWmime.types改為MimeTypes/home/web/mime.types;

定義默認首頁和CGI程序所在目錄，即

DirectoyIndex index.html

ScriptAlias/cgi-bin//home/web/cgi-bin/

這樣指定后，.index.htm為遠程瀏覽客戶訪問WebServer所看到的首頁默認值，用C編寫的CGI程序編譯成二進制文件，放到/cgi-bin/目錄下，CGI程序能被正確地執(zhí)行。

Boa.conf文件和mime.types文件必須放到Web服務(wù)器根目錄下，所以把修改后的bao.conf和mime.types拷貝到“./uclinux-samsung/romfs/home/”目錄下。然后在/uclinux- samsung/Vendors/Samsung/4510b/initab里修改，在:inet:unknown:/bin/inetd后加入: boa:unknown:/bin/boac/homeo

配置過程后，重新編譯內(nèi)核，編譯時選中Boa選項。把編譯好的內(nèi)核下載到硬件板，啟動uclinux，完成IP配置，啟動Boa Web Server，然后就可以通過lE訪問你的網(wǎng)頁了。如果想啟動uclinux時自動啟動Boa Web Server，可以修改re文件，進入uclinux-samsung/vendors/Samsung/4510B目錄，在運行腳本rc中增加兩行:[!--empirenews.page--]

ifconfig eth0 192.168.0.101 up

boa-c/home/&

修改后重新編譯內(nèi)核，再下載到硬件板運行.運行uclinux后，不需要配置就可以直接通過IE來訪問http://192.168.0.101，看到你的網(wǎng)頁了。

⑵uclinux下實現(xiàn)動態(tài)Web頁面的CGI技術(shù)

到目前為止，實現(xiàn)動態(tài)Web頁面有4種技術(shù)可供選擇:CGI(Common Gateway Interface)， ASP(ActiveXServerPage)，PHP(PersonalHomePage)和JSP(JavaServerPage).在uclinux下如果要實現(xiàn)動態(tài)網(wǎng)頁，只能采用CGI，因此目前uclinux還不支持ASP， PHP等動態(tài)Web頁面技術(shù)。CGI(通用網(wǎng)關(guān)接口)提供Web服務(wù)器一個執(zhí)行外部程序的通道，這種服務(wù)端技術(shù)使得瀏覽器和服務(wù)器之間具有交互性。CGI程序?qū)儆谝粋€外部程序，需要編譯成可執(zhí)行文件，以便在服務(wù)端運行。瀏覽器將用戶輸入的數(shù)據(jù)送到Web服務(wù)器，Web服務(wù)器將數(shù)據(jù)使用STDIN送給CGI程序，在執(zhí)行CGI程序后，可能會訪問存儲數(shù)據(jù)的一些文檔，最后使用STDOUT輸出HTML形式的結(jié)構(gòu)文件，經(jīng)Web服務(wù)器送回瀏覽器顯示給用戶。CGI程序可以用任何程序設(shè)計語言編寫，如Shell腳本語言、Perl，F(xiàn)ortran， Pascal， C語言等。但目前uclinux不支持Pert， Fortran等語言，而且C語言在平臺無關(guān)性上表示不錯，所以我們選擇用C來編寫CGI程序。另外，uClinux也不支持數(shù)據(jù)庫，所以需要保存的數(shù)據(jù)只能保存到文件中，CGI查詢數(shù)據(jù)時也是查詢這些文件，而不是訪問數(shù)據(jù)庫。

⑶uClinux下動態(tài)Web頁面的實現(xiàn)

下面通過一個例子來說明如何實現(xiàn)uClinux下的動態(tài)Web頁面技術(shù)。此例子的目的是使用戶能夠通過Web頁面內(nèi)嵌表單提交數(shù)據(jù)，并能把用戶提交的數(shù)據(jù)通過Web瀏覽器正確地返回給用戶。實現(xiàn)動態(tài)Web頁面的第一步是用HTML語言編寫Web頁及內(nèi)建表單。編寫Web頁面時，要由ACTION屬性來指定相關(guān)的CGI程序，如ACTION=cgi-bin/demo;由MOTHOD屬性來指明所用的提交數(shù)據(jù)的方法，即MOTHOD=POST(GET)。

實現(xiàn)動態(tài) Web頁面的第二步是用C編寫CGI程序，CGI程序分為以下幾部分:①根據(jù)POST方法或GET方法從提交的表單中接收數(shù)據(jù);②URL編碼的解碼;③用printf() 函數(shù)來產(chǎn)生HTML源代碼，并將經(jīng)過解碼后的數(shù)據(jù)正確地返回給瀏覽器。包括demo.c， cgivars.h和cgivars.c三個文件。將編寫好的CGI程序編譯成二進制文件放在cgi-bin/目錄下，CGI程序能被正確地執(zhí)行，最終CGI程序就可以對上述表單數(shù)據(jù)的進行處理了。

下面對程序稍加說明。若以GET方法提交數(shù)據(jù)，表單中的數(shù)據(jù)被保存在QUERY_STRING環(huán)境變量中，通過調(diào)用函數(shù)getenv("QUERY_STRING")來讀取數(shù)據(jù);若以POST方法提交數(shù)據(jù)，則程序先從CONTENT LENGTH環(huán)境量得到數(shù)據(jù)的字長，然后從標準輸入中讀取相應長度的字符串即可得到提交的數(shù)據(jù)。數(shù)組postinput[i] 中保存的就是從表單中提取的數(shù)據(jù)。

URL編碼的解碼過程較為復雜，URL編碼的規(guī)則下:①變量之間用“&”分開;② 變量與其對應值之間用“=”連接;③空格符用“+”代替;④特殊意義的字符用%接相應的十六進制ASCI碼代替。解碼即為編碼的逆過程。在程序中，對于從表單中提取過來的postinput[i]中的數(shù)據(jù)，當發(fā)現(xiàn)字符為“+”時，將它轉(zhuǎn)換成空格;當發(fā)現(xiàn)字符為“&”時，意味著個名字2值對的結(jié)束，在此處將字符中切成幾個字符串;當再現(xiàn)字符為“=”時，意味著一個名字/值對的名字部分的結(jié)束，在此再將名字/值對分開。最后通過調(diào)用unescape_url(char *url)子函數(shù)將十六進制ASCII碼值表示的特殊字符轉(zhuǎn)換成相應的ASCII字符。

3、PPPOE撥號實現(xiàn)

PPPOE主要針對ADSL寬帶接入方式，實現(xiàn)用戶的的認證上網(wǎng)方式就是采用這種方式接入。

⑴PPPOE簡介

1998年后期問世的以太網(wǎng)上點對點協(xié)議(PPP over Ethernet)技術(shù)是由Redback網(wǎng)絡(luò)公司、客戶端軟件開發(fā)商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基礎(chǔ)上聯(lián)合開發(fā)的。通過把最經(jīng)濟的局域網(wǎng)技術(shù)以太網(wǎng)和點對點協(xié)議的可擴展性及管理控制功能結(jié)合在一起，網(wǎng)絡(luò)服務(wù)提供商和電信運營商便可利用可靠和熟悉的技術(shù)來加速部署高速互聯(lián)網(wǎng)業(yè)務(wù)。它使服務(wù)提供商在通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式，提供支持多用戶的寬帶接入服務(wù)時更加簡便易行.同時該技術(shù)亦簡化了最終用戶在動態(tài)地選擇這些服務(wù)時的操作.

⑵PPPOE實現(xiàn)

實現(xiàn)步驟 :

pppoe的實現(xiàn)有兩種方式，一種是作為一個用戶態(tài)的應用程序運行，就是rp-pppoe這個程序;另一種是選擇在kernel ppp里支持pppoe功能，這同時也需要pppd支持pppoe。

具體的細節(jié)實現(xiàn)步驟本文不做詳述，有興趣的讀者可以查閱相關(guān)的Linux資料進行更深一步的學習研究。

4、基于IPTable過濾式防火墻

網(wǎng)絡(luò)防火墻用來保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，是網(wǎng)絡(luò)安全環(huán)節(jié)中進行的一個防御步驟。在路由器中配置IPTable過濾式防火墻，可以對IP數(shù)據(jù)封包進行規(guī)則檢查和過濾，保證內(nèi)網(wǎng)安全。

⑴防火墻概述

防火墻是一套能夠在兩個或兩個以上的網(wǎng)絡(luò)之間，明顯區(qū)隔出實體線路聯(lián)機的軟硬件設(shè)備組合。被區(qū)隔開來的網(wǎng)絡(luò)，可以透過封包轉(zhuǎn)送技術(shù)來相互通訊，透過防火墻的安全管理機制，可以決定哪些數(shù)據(jù)可以流通，哪些資料無法流通，藉此達到網(wǎng)絡(luò)安全保護的目的。

防火墻產(chǎn)品可以概略歸類為硬件式防火墻和軟件式防火墻，但實際上無論是硬件式或軟件式防火墻，它們都需要使用硬件來作為聯(lián)機介接，也需要使用軟件來設(shè)定安全政策，嚴格說兩者間的差別并不太大。我們只能從使用的硬件與操作系統(tǒng)來加以區(qū)分，硬件式防火墻是使用專有的硬件，而軟件式防火墻則使用一般的計算機硬件，硬件式防火墻使用專有的操作系統(tǒng)，而軟件式防火墻則使用一般的操作系統(tǒng)。

防火墻依照其運作方式來分類，可以區(qū)分為封包過濾式防火墻(Packet Filter)、應用層網(wǎng)關(guān)式防火墻(Application-Level Gateway，也有人把它稱為Proxy防火墻)、電路層網(wǎng)關(guān)式防火墻(Circuit-Level Gateway).其中被廣為采用的是封包過濾式防火墻，本文要介紹的iptables防火墻就是屬于這一種。

封包過濾是最早被實作出來的防火墻技術(shù)，它是在TCP/IP四層架構(gòu)下的IP層中運作.封包過濾器的功能主要是檢查通過的每一個IP數(shù)據(jù)封包，如果其標頭中所含的數(shù)據(jù)內(nèi)容符合過濾條件的設(shè)定就進行進一步的處理，主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進行封包過濾，防火墻必須要能分析通過封包的來源IP與目的地IP，，還必須能檢查封包類型、來源端口號與目的端口號、封包流向、封包進入防火墻的網(wǎng)卡接口、TCP的聯(lián)機狀態(tài)等數(shù)據(jù)。[!--empirenews.page--]

⑵IPtable的原理及實現(xiàn)

IPTables是Linux操作系統(tǒng)中的一個管理內(nèi)核包過濾的工具，它可以添加、插入或刪除核心包過濾表(1)中的規(guī)則，以實現(xiàn)防火墻功能。

一個iptables命令基本上包含如下五部分:希望工作在哪個表上、希望使用該表的哪個鏈、進行的操作(M入，添加，刪除，修改)、對特定規(guī)則的目標動作、匹配數(shù)據(jù)報條件。

基本的語法為:

iptables -t table -Operation chain -target match(es)

例如，希望添加一個規(guī)則，允許所有從任何地方到本地smtp端口的連接:

iptables -t filter -A INPUT -ACCEPT -p tcp --dport smtp

當然 ，還有其他的對規(guī)則進行操作的命令如:清空鏈表，設(shè)置鏈缺省策略，添加一個用戶自定義的鏈...

經(jīng)過一系列深入的配置后，基本的路由功能器就這樣誕生了，當然實際中路由器還有相當多的應用功能，這些都是通過軟件開發(fā)來逐步深層次實現(xiàn)的，如果你想成為一個嵌入式工程師的話，那這篇文章就算是一個引路人吧，要達到更高的境界，還需要自己刻苦學習研究，一步一步在魔幻般的技術(shù)殿堂中自由遨游。