Situation
公司和家庭在各自的内网里,并不互通,使用 wireguard 加一台处于公网的服务器,组成虚拟局域网,方便在家里访问公司内网或在公司访问家庭内网。
为什么不用 frp 或端口映射工具? 需求之一是希望七层应用(包括 DNS)都不需要特别地设置;而端口映射作用在四层,每当有一个新的应用都得配置一遍。VPN 虚拟出来的网络处于网络层,路由规则一次性配好之后,就不需要再为了新的七层应用作额外的配置。
机器信息和 IP 规划
VPN 网段:192.168.2.0/24
bcc 的公网 IP(假设为): 106.13.13.13
| 机器 | 主机名 | VPN IP | 本地网卡 | 本地 IP |
|---|---|---|---|---|
| 百度云机器 Ubuntu | bcc | 192.168.2.1/24 |
eth0 | - |
| 家庭内网机器 ArchLinux | home | 192.168.2.2/24 |
wlp2s0 | 192.168.0.9/24 |
| 公司内网机器 CentOS | company | 192.168.2.3/24 |
ens192 | 10.10.13.62/24 |
| 公司内网机器 CentOS | target | - | ens192 | 10.10.13.61/24 |
Task
前提
- 公网服务器(bcc)
- 公司和家庭内网的机器能够访问公网(home 和 company 都可以访问到 bcc)
- 公司内网网段和家庭内网网段不冲突
目标
能从家庭网络访问公司内部网络(使用 wireguard + iptables + route路由表实现),如在本文中就是要实现 home 能够访问到 target
说明
wireguard 主要用于建立 VPN,通过中间机器把两个网络的机器(网卡)组成一张虚拟局域网;
iptalbes 主要用来:
- 放行转发的网络包;
- 做网络地址转换,保证在跨网络的时候数据包能够找到来时的路;
route 主要用来让 IP 数据包能够找到正确的网卡,发往正确的网关。
网络示意图
+---------------------------------------+
| | +---------------------------------------+
| +-----------------+ home network | +-----------+ | |
| | | 192.168.0.0/24| | | | company network |
| | | | | bcc | | 10.10.13.0/24 |
| | home | | | | | |
| | | | |eth0 wg0 | | |
| | | | | + | | +------------------+ |
| | wlp2s0 | | +-----------+ | | | |
| | | | | | | company | |
| | wg0 | | | | | | |
| +-----------------+ | | | | | |
| | | | | | ens192 | |
| | | | | | | |
| | | | | | wg0 | |
| | | | | +------------------+ |
| | | +----------------------+ | | |
| | | | | | | +-----------------+ |
| | | | VPN | | | | | |
| | | | 192.168.2.0/24 | | | | target | |
| +-------------------------------+ +------------------+ | | |
| | | | | | ens192 | |
| | | | | | | |
+---------------------------------------+ | | | +-----------------+ |
+----------------------+ +---------------------------------------+
如图所示,home 和 company 的本地网卡分别处于不同的网络,但都各自通过虚拟网卡 wg0 组成了 VPN。这个 VPN 是逻辑上的,物理上包的走向还是通过本地网卡出去的,只不过 wireguard 帮我们做了封装和抽象(用 UDP 包封装 IP 包)。
Action
配置过程分成三部分:1. 安装;2. 配置 VPN;3. 配置路由和转发规则。
详细过程旨在完整地再现配置的思路,方便读者了解网络的组成和数据包的流向,以及对 iptables、tcpdump 等工具的简单使用。在这个过程中没有进行任何永久性的操作,也就是说一旦机器重启配置就清空。在实际使用时还是需要将配置保存下来或者设置成开机启动,本文对这部分就暂不讨论了,配置原理和本文是一致的。
可到 tldr 命令清单 查看用到的所有命令。
1. 安装 wireguard
Ubuntu:
$ sudo add-apt-repository ppa:wireguard/wireguard
$ sudo apt-get update
$ sudo apt-get install wireguard
Arch:
$ sudo pacman -S wireguard-tools wireguard-arch
CentOS:
$ yum update -y
$ reboot # unless there were no updates
$ sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo
$ sudo yum install epel-release
$ sudo yum install wireguard-dkms wireguard-tools
2. 配置 VPN
- 在 bcc 配置 wg
# on bcc
# 生成私钥
$ wg genkey > private
# 添加 wireguard 网卡 wg0
$ ip link add dev wg0 type wireguard
# 给 wg0 设置 IP 地址: 192.168.2.1
$ ip addr add 192.168.2.1/24 dev wg0
# 设置私钥
$ wg set wg0 private-key ./private
# 启动网卡
$ ip link set wg0 up
# 查看本节点的公钥:
$ wg
interface: wg0
public key: OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs=
private key: (hidden)
listening port: 38371
- 在 home 上配置 wg,并添加 bcc 节点
# on home
$ wg genkey > private
$ ip link add wg0 type wireguard
$ ip addr add 192.168.2.2/24 dev wg0
$ wg set wg0 private-key ./private
$ ip link set wg0 up
- 添加 bcc 节点,使用第1步在 bcc 上生成的公钥,endpoint指定 bcc 的公网 IP 加端口号,allowed-ips 设置允许访问本机的 IP 段,persistent-keepalive 设定心跳时间秒数
# on home
$ wg set wg0 peer OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs= allowed-ips 192.168.2.0/24 endpoint 106.13.13.13:38371 persistent-keepalive 15
# 查看本节点的公钥
$ wg
interface: wg0
public key: qqBQXePExrKBukMAVWId8Nv7IVMdbzLP2T2hljw2UCI=
private key: (hidden)
listening port: 52796
- 在 bcc 上,添加 home 节点:
# on bcc
$ wg set wg0 peer qqBQXePExrKBukMAVWId8Nv7IVMdbzLP2T2hljw2UCI= allowed-ips 192.168.2.2/32 persistent-keepalive 15
- 在 company 上配置 wg,并添加 bcc 节点
# on company
$ wg genkey > private
$ ip link add wg0 type wireguard
$ ip addr add 192.168.2.3/24 dev wg0
$ wg set wg0 private-key ./private
$ ip link set wg0 up
$ wg set wg0 peer OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs= allowed-ips 192.168.2.0/24 endpoint 106.13.13.13:38371 persistent-keepalive 15
$ wg
interface: wg0
public key: +za3hn+HR84SrqiGjT95b49W5NVoFyEEIJPbMci6JUc=
private key: (hidden)
listening port: 49830
- 在 bcc 上,添加 company 节点:
# on bcc
$ wg set wg0 peer +za3hn+HR84SrqiGjT95b49W5NVoFyEEIJPbMci6JUc= allowed-ips 192.168.2.3/32,10.10.13.0/24 persistent-keepalive 15
这里 allowed-ips 添加多一个网段,目的是允许经过 bcc 的包访问公司内网 IP
- 至此 VPN 的配置已经完成
# on bcc
$ wg
interface: wg0
public key: OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs=
private key: (hidden)
listening port: 38371
peer: qqBQXePExrKBukMAVWId8Nv7IVMdbzLP2T2hljw2UCI=
endpoint: 14.x.x.x:21511
allowed ips: 192.168.2.2/32
latest handshake: 1 minute, 9 seconds ago
transfer: 1.90 MiB received, 3.65 MiB sent
persistent keepalive: every 15 seconds
peer: bAZiJthnVFdroOyeCcKd8TNYM/2F2ql9sJEkiPNcBnk=
endpoint: 117.x.x.x:46156
allowed ips: 192.168.2.3/32,10.10.13.0/24
latest handshake: 1 day, 2 hours, 15 minutes, 35 seconds ago
transfer: 10.95 MiB received, 95.47 MiB sent
persistent keepalive: every 15 seconds
此时的效果是,在 bcc、home、company 任意一台机器,ping 192.168.2.0/24 的 IP,都可以 ping 通。有了这个前提,我们就可以设置路由和转发规则了。
3. 写静态路由和转发规则
我们的目的是,在 home 能够直接访问 10.10.13.61。通过在 home 上 ping 公司内网机器,来一步步分析包的流向和一步步设置实现我们的目的
在 home 上先查看已有路由
# on home
$ ip r
default via 192.168.0.1 dev wlp2s0 proto dhcp src 192.168.0.9 metric 303 # 默认网关
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 # docker 网路的路由
192.168.0.0/24 dev wlp2s0 proto dhcp scope link src 192.168.0.9 metric 303 # 内网路由
192.168.2.0/24 dev wg0 proto kernel scope link src 192.168.2.2 # VPN 路由,在给 wg0 分配地址,在执行 ip link set wg0 up,系统会自动加这一条路由
尝试 ping:
# on home
$ ping 10.10.13.61 -c 1
PING 10.10.13.61 (10.10.13.61) 56(84) bytes of data.
首先,在 home 上,10.10.13.61 是没有对应路由规则的,发往这个地址的包默认会走默认网卡和默认网关,
# on home
# 在默认网卡上抓包,这个 IP 在这个网络里是不存在的
$ tcpdump -i wlp2s0 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:47:18.508559 IP 192.168.0.9 > 10.10.13.61: ICMP echo request, id 11180, seq 27, length 64
15:47:19.521895 IP 192.168.0.9 > 10.10.13.61: ICMP echo request, id 11180, seq 28, length 64
...
这不是我们期望的,我们希望他发往 wg0 网卡。
添加一条静态路由:
# on home
$ ip route add 10.10.13.0/24 via 192.168.2.1 dev wg0
此时,目的地址为 10.10.12.27 源地址为 192.168.2.2 的包已经通过 wg0 出去了。
# on home
$ tcpdump -i wg0 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:49:34.961873 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11285, seq 46, length 64
15:49:35.975153 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11285, seq 47, length 64
...
它的实际路径是,先通过隧道到达 bcc
# on bcc
$ tcpdump -i wg0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:50:29.088012 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11285, seq 425, length 64
...
# on company
$ tcpdump -i wg0 icmp -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
如果 bcc 没有开启转发,这个包在 bcc 这里,会被丢弃,company 抓不到任何包。
Linux 默认不允许转发,目的地址不是本机 IP 的包会被丢弃。开启了转发,目的地址不是本机 IP 的,会重新查路由表被转发到对应的目的。
开启转发(on bcc)并配置 iptables 转发规则:
# on bcc
# 临时生效:
$ echo "1" > /proc/sys/net/ipv4/ip_forward
# 永久生效,修改sysctl.conf:
$ net.ipv4.ip_forward = 1
$ sysctl -p
# 设置 iptables 的 filter 表 FORWARD 链,允许来自 wg0 和发往 wg0 的包通过
$ iptables -t filter -A FORWARD -i wg0 -j ACCEPT
$ iptables -t filter -A FORWARD -o wg0 -j ACCEPT
同样在 bcc 上设置路由,保证目的为 10.10.13.61 能找到正确的网卡:
# on bcc
$ ip r add 10.10.13.0/24 via 192.168.2.1 dev wg0
如果不设置路由,在 bcc 上抓包是这样的
# on bcc
$ tcpdump -i wg0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:53:04.127719 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11285, seq 578, length 64
15:53:04.795808 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11501, seq 168, length 64
设置了路由,是这样的,同一个 ICNP 包会出现两次,说明有进有出:
# on bcc
$ tcpdump -i wg0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:54:22.820680 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11501, seq 245, length 64
15:54:22.820710 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11501, seq 245, length 64
15:54:22.900694 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11430, seq 391, length 64
15:54:22.900718 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11430, seq 391, length 64
此时,company 终于收到来自 bcc 转发的 ICMP 包了:
# on company
$ tcpdump -i wg0 icmp -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:51:59.758651 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11501, seq 104, length 64
15:51:59.832210 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11430, seq 250, length 64
通过 bcc 的转发和路由,这个包通过 wg 隧道到达 company 的 wg0 网卡。因为这个包的目的是 10.10.13.61,还需要 company 转发一次。
company 需要做的和在 bcc 上做的类似:1. 开启转发 2. 设置路由表
但这里有些许不同,我们可以跟着包的流向一步步设置
# on company
$ echo "1" > /proc/sys/net/ipv4/ip_forward
# 允许来自 wg0 的包被转发
$ iptables -t filter -A FORWARD -i wg0 -o ens192 -j ACCEPT
# 在 wg0 上抓包 on company
$ tcpdump -i wg0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
15:37:47.638106 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11136, seq 151, length 64
...
目的地址是 10.10.13.61,因为是 company 所在网段,走默认路由、从默认网卡 ens192 出去即可,不需要再做额外设置。
此时,包已经到达 target 10.10.13.61 了。
在 10.10.13.61 上抓包可以验证设置 iptables 前,没有包到达,设置后有包到达。
# on target
$ tcpdump -i ens192 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
15:35:24.036458 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11136, seq 10, length 64
15:35:24.036576 IP 10.10.13.61 > 192.168.2.2: ICMP echo reply, id 11136, seq 10, length 64
...
可见 10.10.13.61 给了 ICMP 响应,但也有明显的问题,它回包的目的地址是 VPN 的地址,10.10.13.61 是没有此网段的路由的,所以它即使响应了,这个包也无法从原路径返回了。
为了解决这个问题,我们需要在 company 上做 NAT,把从 10.10.13.62 通过网卡 ens192 发往 10.10.13.0/24 网段的包,源地址都改成 10.10.13.62,这样回包的目的地址就是 10.10.13.62,可以路由回来。
# on company
$ iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ens192 -j MASQUERADE
此时, 在 company 的 wg0、 ens192 和 target 的 ens192 上抓包
# on company
$ tcpdump -i wg0 icmp -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
16:27:27.857949 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11915, seq 1, length 64
# on company
$ tcpdump -i ens192 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
16:27:27.858039 IP 10.10.13.62 > 10.10.13.61: ICMP echo request, id 11915, seq 1, length 64
16:27:27.858319 IP 10.10.13.61 > 10.10.13.62: ICMP echo reply, id 11915, seq 1, length 64
# on target
$ tcpdump -i ens192 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
16:27:27.132347 IP 10.10.13.62 > 10.10.13.61: ICMP echo request, id 11915, seq 1, length 64
16:27:27.132427 IP 10.10.13.61 > 10.10.13.62: ICMP echo reply, id 11915, seq 1, length 64
可见数据包已经从company wg0 被转发到 company 的本地网卡 ens192,然后被发送到 target 的本地网卡,target 也回响应包了。
company ens192 拿到了响应包,但 wg0 却没有拿到回包,这是因为,到达 company ens192 的包,需要转发到 wg0,还需要一条规则:
# on company
iptables -t filter -A FORWARD -i ens192 -o wg0 -j ACCEPT
这条规则实际上和上述的$ iptables -t filter -A FORWARD -i wg0 -o ens192 -j ACCEPT是一样的,只不过方向相反。
再次在 company 的 wg0、 ens192 和 target 的 ens192 上抓包:
# on company
$ tcpdump -i wg0 icmp -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wg0, link-type RAW (Raw IP), capture size 262144 bytes
16:30:25.443492 IP 192.168.2.2 > 10.10.13.61: ICMP echo request, id 11927, seq 1, length 64
16:30:25.444860 IP 10.10.13.61 > 192.168.2.2: ICMP echo reply, id 11927, seq 1, length 64
# on company
$ tcpdump -i ens192 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
16:30:25.443607 IP 10.10.13.62 > 10.10.13.61: ICMP echo request, id 11927, seq 1, length 64
16:30:25.444610 IP 10.10.13.61 > 10.10.13.62: ICMP echo reply, id 11927, seq 1, length 64
# on target
$ tcpdump -i ens192 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
16:30:24.718599 IP 10.10.13.62 > 10.10.13.61: ICMP echo request, id 11927, seq 1, length 64
16:30:24.718716 IP 10.10.13.61 > 10.10.13.62: ICMP echo reply, id 11927, seq 1, length 64
一切正常,符合预期。
同时,在 home 的 ping 终于拿到 61 的 ICMP 响应了。说明 IP 层已经打通。
尝试在 home ssh 到 target,可以成功:
# on home
$ ssh root@10.10.13.61
root@10.10.13.61's password:
经过完整设置后,从 home ping target 的过程如下:
- 在 home 上,首先会查路由表,找到 10.10.13.61 应该走 wg0(请求包的源地址和目的地址是:
192.168.2.2 > 10.10.13.61) - wg0 是 wireguard 虚拟出来的网卡,网络包的实际轨迹是:从 home 的 wg0 通过 home 的本地网卡(wlp2s0)发往 bcc 的公网IP(106.13.13.13),到达 bcc 的本地网卡再到 bcc 的 wg0。这个路径就是 wireguard 帮我们实现的隧道
- bcc 从 wg0 拿到这个 ICMP 包,发现目的地址(10.10.13.61)不是本机的 IP(106.13.13.13),会根据路由表再次转发到 wg0
- company 从 wg0 获得这个包,同样发现目的地址不是本机 IP,查路由表做转发,在包通过本地网卡(ens192)会做一次 NAT,即把源地址(192.168.2.2)改成本机网卡地址(10.10.13.62),此时请求包的源地址和目的地址是:
10.10.13.62 > 10.10.13.61 - target 收到这个包,做出响应,响应包的源地址和目的地址与请求包是反过来的,所以它会被发回 company。响应包的源地址和目的地址是:
10.10.13.61 > 10.10.13.61 - 响应包回到 company,因为之前做了 NAT,会有记录,响应包的目的地址(10.10.13.62)会改回之前的源地址(192.168.2.2)。此时响应包的源地址和目的地址是:
10.10.13.61 > 192.168.2.2 - 检查路由表发现响应包应该走 wg0,即原路返回。home 上的 ping 程序就拿到了响应包。
实际上,company 在这里是充当了网关的角色。
请求包经过的网卡如下(响应包则是反过来):
home.wg0->(wg tunnel)->bcc.wg0->(forward)->bcc.wg0->(wg tunnel)->company.wg0->(forward)->(nat)->company.ens192->target.ens192
完整命令清单(TL;DR 版)
- 在每台机器上设置 wireguard 网卡
# on bcc
$ wg genkey > private
$ ip link add dev wg0 type wireguard
$ ip addr add 192.168.2.1/24 dev wg0
$ wg set wg0 private-key ./private
$ ip link set wg0 up
# on home
$ wg genkey > private
$ ip link add wg0 type wireguard
$ ip addr add 192.168.2.2/24 dev wg0
$ wg set wg0 private-key ./private
$ ip link set wg0 up
$ wg set wg0 peer OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs= allowed-ips 192.168.2.0/24 endpoint 106.13.13.13:38371 persistent-keepalive 15
# on company
$ wg genkey > private
$ ip link add wg0 type wireguard
$ ip addr add 192.168.2.3/24 dev wg0
$ wg set wg0 private-key ./private
$ ip link set wg0 up
$ wg set wg0 peer OM5NlntS3l0hCBrrlvFGnVoThIniVICuulbszIQ0Lhs= allowed-ips 192.168.2.0/24 endpoint 106.13.13.13:38371 persistent-keepalive 15
# on bcc
$ wg set wg0 peer qqBQXePExrKBukMAVWId8Nv7IVMdbzLP2T2hljw2UCI= allowed-ips 192.168.2.2/32 persistent-keepalive 15
$ wg set wg0 peer +za3hn+HR84SrqiGjT95b49W5NVoFyEEIJPbMci6JUc= allowed-ips 192.168.2.3/32,10.10.13.0/24 persistent-keepalive 15
- 在 home 设置路由
# on home
$ ip route add 10.10.13.0/24 via 192.168.2.1 dev wg0
- 在 bcc 上设置
# on bcc
$ net.ipv4.ip_forward = 1
$ sysctl -p
$ iptables -t filter -A FORWARD -i wg0 -j ACCEPT
$ iptables -t filter -A FORWARD -o wg0 -j ACCEPT
$ ip r add 10.10.13.0/24 via 192.168.2.1 dev wg0
- 在 company 上设置
# on company
$ net.ipv4.ip_forward = 1
$ sysctl -p
$ iptables -t filter -A FORWARD -i wg0 -o ens192 -j ACCEPT
$ iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ens192 -j MASQUERADE
$ iptables -t filter -A FORWARD -i ens192 -o wg0 -j ACCEPT
Result
通过 wireguard 成功组成了跨 nat 的 VPN;通过设置静态路由和 iptables,实现了跨网络包的转发。
通过 wireguard 的使用,可以对 VPN 有个大致的了解。首先,VPN 是点对点的网络,一般是在两个网络的网关上建立 VPN,在本文中,home 和 company 充当了各自网络的网关角色,分别和 bcc 建立点对点的连接;其次,VPN 是隧道,用 UDP(或其他协议,wiregard 是使用 UDP) 封装了三层的网络包。使用 VPN 的时候,在本地网卡上抓包,只能看到加密过的 UDP 包(或封装过的其他协议包),不是原始的网络层包。