Outbound ATU和IOMMU地址转换

最新推荐文章于 2026-01-08 20:00:00 发布

原创最新推荐文章于 2026-01-08 20:00:00 发布 · 20 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#linux #服务器

零基础学PCIe实战指南专栏收录该内容

157 篇文章 ¥19.90 ¥99.00

订阅专栏

超级会员免费看

6. 总结：Outbound ATU ≠ IOMMU

Outbound ATU和IOMMU虽然都涉及地址转换，但作用并不相同，它们在设计目标、功能范围、应用场景和安全性上有显著差异。以下是两者的详细对比：

1. 设计目标不同

Outbound ATU：
解决设备发起的地址转换问题，即设备如何将自身的本地地址（如AXI地址）映射到系统总线或外部设备的地址空间。其核心目标是实现设备对外部资源（如主机内存、其他设备）的访问，不涉及安全隔离。
IOMMU：
解决外部访问的安全隔离与地址虚拟化问题，即如何将设备发起的地址（如IOVA）或外部对设备的访问（如主机访问设备内存）转换为物理地址，同时提供隔离机制（防止恶意设备访问非法内存）。其核心目标是安全与虚拟化支持。

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

amy_mhd

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

Outbound ATU和IOMMU

xiaoheshang_123的博客

12-06

OutboundATU与IOMMU在地址转换方面存在显著差异。OutboundATU专注于设备对外部资源的单向地址映射，适用于嵌入式系统等可信环境，具有低延迟但缺乏安全隔离。IOMMU则提供双向地址转换与硬件级安全隔离，支持虚拟化场景，尽管性能开销较高但能防止DMA攻击。两者并非替代关系，现代系统中可能协同工作：OutboundATU完成设备地址到IOVA的转换，IOMMU进一步实现IOVA到物理地址的安全映射。安全敏感场景必须使用IOMMU，而OutboundATU更适用于高性能但低安全需求的场景。

SDMA（System Direct Memory Access）访问主机内存时，Outbound ATU和IOMMU路径概述

最新发布

MHD0815的博客

01-09

本文分析了SDMA访问主机内存的两条路径：OutboundATU和IOMMU。OutboundATU提供设备侧直接地址转换，适合高性能场景但缺乏安全隔离；IOMMU则通过虚拟地址转换实现安全隔离与虚拟化支持。两者可根据系统需求独立或协同工作：在可信环境中优先使用OutboundATU降低延迟，在安全敏感场景则依赖IOMMU保护机制。现代系统常采用两级转换模式，由OutboundATU完成初步转换后，再通过IOMMU进行安全校验，兼顾性能与安全性。

参与评论您还未登录，请先登录后发表或查看评论

Outbound ATU和IOMM--Outbound ATU解决设备如何访问外部资源的问题，IOMMU解决如何安全地管理这些访问

MHD0815的博客

12-08

112

摘要：OutboundATU与IOMMU虽然都涉及地址转换，但存在本质差异。OutboundATU专注于设备对外部资源的单向地址映射（如AXI转系统地址），适用于嵌入式系统、跨设备通信等场景，具有低延迟但无安全隔离功能。IOMMU则提供双向地址转换（IOVA↔HPA）及硬件级安全隔离，是虚拟化、RDMA等场景的核心组件，支持多级转换但开销较高。二者互补共存：OutboundATU解决设备访问问题，IOMMU确保访问安全性，在虚拟化等场景中IOMMU不可或缺。（149字）

SDMA（System Direct Memory Access）访问主机内存时，通过Outbound ATU实现，也可依赖IOMMU路径

xiaoheshang_123的博客

12-10

SDMA访问主机内存时存在两种路径：OutboundATU路径直接进行设备地址转换，适用于高性能嵌入式场景但缺乏隔离；IOMMU路径提供安全隔离与虚拟化支持，适合云计算等安全敏感环境。二者可协同工作，通过两级转换或动态选择实现性能与安全的平衡。选择取决于硬件架构、IOMMU启用状态及具体应用场景需求。

SDMA（System Direct Memory Access）访问主机内存时，既可能通过Outbound ATU实现，也可能依赖IOMMU路径

amy_mhd的博客

12-20

258

Outbound ATU是设备侧的地址转换单元，负责将设备生成的本地地址（如AXI地址）转换为PCIe总线域地址或系统总线地址（如主机物理地址HPA）。在SDMA场景中，设备通过Outbound ATU直接将DMA请求中的本地地址转换为主机内存地址，无需IOMMU介入。IOMMU（Input/Output Memory Management Unit）是连接I/O总线与物理内存的桥梁，负责将设备发出的I/O虚拟地址（IOVA）转换为物理地址（HPA）。，具体取决于硬件架构、IOMMU是否启用以及系统配置。

5 Linux pci子系统之内存域的访问

枫潇潇

12-28

647

PCIe总线的最大特点是像CPU访问DDR一样，可以直接使用地址访问PCIe设备（桥），但不同的是DDR和CPU同属于存储器域，而CPU和PCIe设备属于两个不同的域，PCIe设备（桥）的地址空间属于PCIe总线域。存储器域访问PCIe总线域或者PCIe总线域访问存储器域，需要经过一系列的转换才可以完成。Inbound 指的是从PCIe（Peripheral Component Interconnect Express，外设组件快速互连）总线到根复合体（Root Complex）的数据传输方向。

PCI-E 基础知识

热门推荐

08-13

1万+

一、PCI-E/PCI拓扑结构 PCI-E点对点结构 PCI总线结构二、PCI-E总线特性协议支持258个bus、每条bus最多支持32个device,每个device最多支持8个function 由BDF构成了每个PCI-E设备几点的身份证，用于PCI-E地址空间寻址。三、PCI-E一般拓扑图 CPU --> RC --> SWITCH --> ENDPOINT --...

SDMA 如何实现设备对主机内存的访问

MHD0815的博客

12-03

摘要：SDMA（System Direct Memory Access）是PCIe设备直接访问主机内存的核心机制，使外设无需CPU干预即可高效读写系统RAM。其实现原理包括：设备作为主控发起DMA请求，通过PCIe Memory TLP访问主机物理地址；完整通路涉及驱动分配DMA安全内存、设备配置、地址转换（IOMMU）和中断通知等步骤；关键技术涵盖地址类型（HPA/IOVA）、TLP格式、缓存一致性和安全防护机制。SDMA广泛应用于GPU、网卡、NVMe等高性能场景，是现代异构计算的基础技术，需软硬件协同

Nmap 完整教学与 Linux 指令详解

2401_84359179的博客

01-03

1785

总结：Nmap 是网络安全领域的"瑞士军刀"，掌握 `-sS`、`-sV`、`-O`、`-A`、`-p`、`-T`、 `--script` 这 7 大核心参数，即可应对 90% 的扫描场景。1.权限：SYN 扫描 (`-sS`)、OS 检测 (`-O`)、UDP 扫描 (`-sU`) 需要 root 权限。3. 防火墙：现代 IDS/IPS 能检测 Nmap 扫描特征，需配合 `-T2`、`-f`、`-D` 等规避。初学者：从 `-sT`、`-sV`、`-p` 开始，逐步学习高级选项。

Linux-Web服务（Apache）

Maggie_ssss_supp的博客

01-05

610

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开源的web服务器，Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。1.主配置目录：/etc/httpd/conf/2.子配置目录：/etc/httpd/conf.d/2.默认发布目录：/var/www/html/3.默认监听端口：804.检查是否有语法问题：httpd -t。

linuxshell循环，条件分支语句

weixin_74911003的博客

01-07

331

本文介绍了Shell脚本中循环结构和多分支结构的编程方法。主要内容包括： for循环的三种使用方式：列表遍历（遍历字符串列表）序列范围遍历（正序/倒序数字序列） C语言风格（带初始条件、循环条件和更新表达式） while循环的基本语法和使用示例，强调循环变量初始化和更新的重要性。多分支if判断结构，包括if-elif-else的语法格式。常见案例实现：遍历城市列表和数字序列计算特定条件的数字累加和（如偶数求和）处理目录下的文本文件（查找、备份等）函数定义与调用方法，包括参数接收和结果输出。

LINUX SSH长连接VS短连接

xingzhemengyou1的博客

01-08

903

SSH连接策略对比分析：SSH的长连接与短连接本质上是TCP连接复用策略的不同。短连接每次操作都需重新建立连接，资源开销大但释放快；长连接复用现有连接，减少延迟但长期占用资源。SSH默认支持长连接，可通过ControlMaster实现会话复用，并配合心跳机制保持连接稳定。短连接适合低频任务，长连接适用于高频交互或隧道场景。选择时需权衡效率与资源消耗，并根据实际需求配置心跳参数或连接策略。高并发场景还需考虑服务端资源限制和连接管理问题。

Linux 上几种 exFAT 驱动的区别

qq_42161913的博客

01-07

434

Linux 上几种 exFAT 驱动的区别

Linux dmesg 查看系统启动日志

xingzhemengyou1的博客

01-08

391

dmesg是Linux系统中用于查看内核环形缓冲区日志的命令行工具，主要功能包括：1）显示系统启动信息和运行时内核日志；2）诊断硬件问题和驱动故障；3）监控设备状态。其工作原理是读取/dev/kmsg设备文件获取循环存储的内核日志。常用选项包括：-c清除缓冲区、-w实时监控、-T显示易读时间戳等。典型应用场景包括排查启动故障、分析硬件兼容性问题、实时监控系统事件等。该命令通常需要sudo权限执行，日志信息会保存在/var/log/dmesg文件中，与系统日志服务形成互补。

Linux磁盘占用分析指南

哈喽。

01-06

451

Linux磁盘占用分析指南摘要本文全面介绍了Linux系统中分析磁盘占用的多种方法。基础命令包括du（显示目录大小）和df（显示文件系统使用情况），配合-h参数可人性化显示。高级工具推荐ncdu（交互式分析）和gt5（历史对比）。文章提供了实用脚本：查找大文件、目录分析报告和磁盘监控脚本，并介绍了可视化工具filelight和baobab。最佳实践建议定期清理、监控使用率、压缩归档大文件。常见问题解决方案包括处理已删除但未释放的文件和权限问题。通过合理组合这些工具，可高效管理Linux磁盘空间。

LINUX modprobe 智能加载和卸载内核模块

xingzhemengyou1的博客

01-06

480

摘要：modprobe是Linux系统中智能管理内核模块的核心命令，能自动处理模块依赖关系。它通过读取depmod生成的modules.dep文件，实现模块的智能加载/卸载，失败时自动回滚。常用参数包括-r卸载、v显示详情、c查看配置等。相比insmod/rmmod等低级命令，modprobe更安全高效。系统通过/etc/modprobe.d/配置模块参数，使用时应避免强制操作。该命令是Linux模块管理的首选工具。

Linux 文件系统一致性: 从崩溃恢复到 Journaling 机制

01-06

374

文件系统一致性指的是磁盘上的数据结构和内存中的视图保持同步, 满足特定的不变式（invariants）. 简单理解就是: 无论何时中断, 文件系统都能恢复到一个合法的状态inode 位图（标记该 inode 为空闲）数据块位图（标记数据块为空闲）父目录项（删除目录条目）如果只完成了其中一两步就掉电, 文件系统就进入了不一致状态: 可能 inode 仍被标记为占用, 但对应的数据块已被清空, 导致垃圾文件占据磁盘空间维度挑战解决方案可靠性掉电/崩溃导致数据不一致。

Linux: network: ipv6: proxy_ndp

mzhan017的博客

01-04

195

这意味着，如果一个主机 A 询问主机 B 的 MAC 地址，而主机 B 不在主机 A 的直接链路上，但有一个启用了 proxy_ndp 的中间设备 C 知道主机 B 的 MAC 地址，那么设备 C 就会代表主机 B 回复主机 A 的请求。桥接 (Bridging)：在某些复杂的桥接或虚拟化环境中，如果一个设备（如路由器或主机）需要为连接到其上的其他设备（如虚拟机或物理服务器）代理 NDP 消息，以确保它们能够被网络中的其他节点发现。将其值设置为 1 启用，设置为 0 禁用。

《Linux 核心 IO 模型深析（初篇）：非阻塞 IO 的轮询机制与多路转接的高效实现》

月亮永悬不落，剑指巅峰

01-04

1610

IO 是 Linux 系统性能的核心瓶颈之一，所有 IO 操作本质上都离不开 “等待” 与 “拷贝” 两个关键步骤。在五种经典 IO 模型中，非阻塞 IO 以 “轮询” 打破传统阻塞限制，多路转接 IO 凭 “多文件描述符监听” 实现高效等待，二者凭借独特的工作逻辑，成为高并发、低延迟场景的核心选择。本文将深入剖析两种模型的底层原理、工作流程、优劣势差异，以及实际开发中的落地要点，帮助开发者真正理解其设计思想并灵活运用！

使用nat inbound和nat outbound实现源目地址同时转换

05-27

### 使用 NAT Inbound 和 NAT Outbound 实现源地址和目的地址的双向转换在网络通信中，NAT（Network Address Translation）技术被广泛用于实现私有网络与公共网络之间的地址映射。为了支持复杂的场景需求，可以通过配置 `nat inbound` 和 `nat outbound` 来分别处理数据包进入内网和离开内网时的地址转换。 #### 1. **NAT 的基本概念** - 当数据包从内网流向外网时，通常需要进行源地址转换（Source NAT, SNAT），即将私有 IP 地址替换为公有 IP 地址。 - 当数据包从外网流入内网时，则需要进行目的地址转换（Destination NAT, DNAT），即把目标公有 IP 地址映射回内部私有 IP 地址[^1]。 #### 2. **NAT Inbound 和 NAT Outbound 的作用** - **NAT Inbound**: 主要用于入方向的数据流，当外部设备访问内部服务器时，将数据包中的目的地址从公网地址转换为私网地址。 - **NAT Outbound**: 主要用于出方向的数据流，当内部主机发起对外部资源的请求时，将数据包中的源地址从私网地址转换为公网地址。 #### 3. **配置示例** 以下是基于华为防火墙的一个典型配置案例： ##### （1）定义 ACL 规则 ```bash acl number 2000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination any ``` 此规则允许来自子网 `192.168.10.0/24` 的流量向外网发送。 ##### （2）配置 NAT 出口策略 (NAT Outbound) ```bash interface GigabitEthernet 0/0/1 ip address 8.8.8.8 255.255.255.0 nat outbound acl-number 2000 ``` 在此配置中，接口 `GigabitEthernet 0/0/1` 被指定为外网出口，并启用了针对 ACL 编号 `2000` 的 NAT 出口功能。这意味着匹配该 ACL 的所有流量都会执行源地址转换[^2]。 ##### （3）配置 NAT 进口策略 (NAT Inbound) 假设有一个外部用户希望通过公网 IP `8.8.8.8` 访问内网 Web 服务（监听于 `192.168.10.10:80`）： ```bash nat server protocol tcp global current-interface 80 inside 192.168.10.10 80 ``` 这条命令实现了将到达外网接口上的 TCP 流量（端口号 80）重定向至内网服务器 `192.168.10.10` 上的服务端口[^2]。 #### 4. **注意事项** - 如果希望同时完成源地址和目的地址的转换，需确保 NAT 配置覆盖了完整的路径逻辑。 - 对于更复杂的应用场景，可能还需要引入额外的安全机制如 ACL 或者高级路由控制来细化流量管理[^3]。 --- ### 总结通过合理设置 NAT Inbound 和 NAT Outbound 可以有效达成内外网间双向往返通讯所需的地址变换操作。这不仅有助于保护内部网络安全还能够优化跨域连接效率。