专利名称:一种网络应用层流量管理系统的制作方法
技术领域:
本实用新型涉及一种网络应用层流量管理系统。
背景技术:
随着Internet网络的迅猛发展,局域网对它的应用和数据访问流量越来越大,局域网内部游戏、迅雷、快播等P2P应用的大量出现,导致网络出口的压力越来越大。传统的流量管理系统基于网络层数据包的源和目的IP地址、端口以及协议类型进行控制,无法基于应用数据的内容和行为来管理流量(例如迅雷先采用基于TCP的HTTP协议传输建立P2P连接后,数据传输时将产生大量随机端口的UDP数据包),基于标准协议的网络流量控制系统已经越来越不能满足网络发展的需求了,从应用层区分数据包并进行流量控制,能保证网络的稳定和畅通。当前企业中小型局域网占全球局域网总数量的80%,如何对中小型企业局域网进行有效的流量管理成为亟待解决的问题,一个高效、安全、价格低廉的网络应用级流量管理系统,具有广阔的市场应用前景。
实用新型内容本实用新型所要解决的技术问题是提供一种网络应用层流量管理系统,该网络应用层流量管理系统能通过对IP应用数据包的识别并分类标记,为低于60000个并发连接数的网络承担流量管理任务。实用新型的技术解决方案如下一种网络应用层流量管理系统,包括IP信息包过滤器、应用层数据包分类器、流量控制器、第一网桥、第二网桥和防火墙,应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器相连,第一网桥和第二网桥均与流量控制器相连;第一网桥通过防火墙接入到互联网中,第二网桥接入到局域网中。应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器采用六类双绞线相连,第一网桥和第二网桥均与流量控制器采用采用六类双绞线相连。IP信息包过滤器是与2. 4. X及以上版本Linux内核集成的IP信息包过滤系统,也称为内核空间(kernel space),是内核的一部分,它包含了若干组的信息包过滤表,这些信息包过滤表包含内核用来控制信息包过滤处理的规则集。工具模块IPTables连接到IP信息包过滤器的架构中,并允许使用者对信息包过滤表进行过滤、地址转换、处理等操作。IP信息包过滤器提供了一个框架规则,将对网络代码的直接干涉降到最低,并允许用规定的接口将其他包处理代码以模块的形式添加到内核中,具有极强的灵活性。应用层数据包分类器使Linux的IP信息包过滤器支持开放式系统互联参考模型(0SI模型)中的第七层(即应用层)的过滤功能,限制P2P、即时通讯(MSN、QQ、AIM)软件。它加强IPTables分析数据包的能力,IPTables在处理封包时不是简单的基于如网络应用端口号,而是用正则表达式匹配应用层协议(HTTP、FTP)的传输数据,这样更能准确的分析数据包,为流量控制器实现应用层数据过滤奠定了基础。数据包传输到IP信息包过滤器后,会按照传输规则将数据包特征提交给应用层数据包分类器进行匹配,如匹配成功,应用层数据包分类器返回信号,IP信息包过滤器就按照规则定义的处理方式给这个数据包做个标记,同时会在连接跟踪表里把这条连接记录下来。流量控制器是Linux的自带模块,它利用队列技术规定建立处理数据包的队列,并定义队列中的数据包被发送的方式,从而实现对流量的控制。IP信息包过滤器在mangle表内定义规则设置数据包的MARK值,并将数据包传输到流量控制器。流量控制器的主要工作是根据IP信息包过滤器做的标记把不同应用层协议的数据包放到相应的数据类别里,数据类别的主要作用是完成数据包发送速率的控制。如果定义了优先级别,那么在发送队列里还可以根据优先级别把数据发送出去。如果没有定义,默认采用先进先出的方式把数据包发送出去。网桥必须支持生成树协议(STP-Spanning Tree Protocol),用来对局域网与互联 网的数据包进行转发,加入网桥的物理端口可以不分配IP地址,只在网桥虚拟端口(BV1-Brige Virtual Interface)上分配IP地址。虚拟端口可以完全当作一个普通端口来使用,并且支持IP信息包过滤器的各种应用和路由。有益效果本实用新型的网络应用层流量管理系统,是基于Linux平台在局域网和互联网接口处配置的简单的网络流量管理系统,该系统对硬件要求不高,对于网络中同时并发连接数低于60000的网络来说,采用目前普通个人台式电脑的硬件配置即可满足其需求了。系统安全、稳定,相对目前已有的流量控制系统比较,价格低廉。传统的流量管理系统是基于网络层数据包的源和目的IP地址、端口以及协议类型进行控制,无法基于应用数据的内容和行为来管理流量(例如迅雷采用基于TCP的HTTP协议传输建立P2P连接后,数据传输时将产生大量随机端口的UDP数据包),这种基于标准协议的网络流量控制系统已经越来越不能满足网络发展的需求,本实用新型提供了一个从应用层区分数据包并进行流量控制的系统,保证网络的稳定和畅通,符合目前网络流量控制的实际情况,可以进行有效的流量控制。本实用新型基于Linux的内核级IP数据包过滤功能,在此基础上,应用应用层数据包分类器和流量控制器,设计实现了一个网络应用流量管理的方法,并利用Linux下的网桥把系统两个网卡配置成网桥模式串联在网络出口,在不改变网络原有结构的基础上,实现了基于TCP/IP网络应用层数据内容的分类、识别和流量管理功能。综上所述,本实用新型的网络应用层流量管理系统部署在局域网与互联网的接口处,基于对IP应用数据包的识别并分类标记,为低于60000个并发连接数的网络承担高效、低成本的流量管理任务。
图1为网络应用层流量管理系统的结构框图。
具体实施方式
[0019]以下将结合附图和具体实施例对本实用新型做进一步详细说明实施例1 :如图1所示,一种网络应用层流量管理系统,包括IP信息包过滤器、应用层数据包分类器、流量控制器、第一网桥、第二网桥和防火墙,应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器采用六类双绞线相连,第一网桥和第二网桥均与流量控制器采用六类双绞线相连。第一网桥通过防火墙接入到互联网中,第二网桥接入到局域网中。六类双绞线缆的传输频率为1MHZ-250MHZ,六类布线系统在200MHz时综合衰减串扰比(PS-ACR)应该有较大的余量,它提供2倍于超五类的带宽。图中实线表示从局域网到互联网的流出数据,虚线表示从互联网到局域网的流入数据。IP信息包过滤器用于对内外网传输的数据进行识别和做标记 。流量控制器用于根据IP信息包过滤器的识别情况和标记完成流量控制工作。IP信息包过滤器的处理过程通过网络,数据包传输到IP信息包过滤器进行处理,过滤器内部钩子(HOOK)函数,每个钩子处登记一些处理函数对数据包进行处理。数据包进入IP信息包过滤器后,首先进行简单的校验(如版本、IP校验等)后,经过钩子(HOOK)函数进行处理。应用层数据包分类器的处理过程数据包传输到IP信息包过滤器后,会按照传输规则将数据包特征提交给应用层数据包分类器进行匹配,应用层数据包分类器是用正则表达式的string-match方式辨别数据包的,包括两部分,第一部分是模式的名称即第一行,第二部分是正则表达式表示的模式内容。进行匹配的时候使用模式匹配文件中的正则表达式去搜索数据包,如果发现匹配的内容,说明匹配成功,是该类型数据,否则说明不是该类型数据。如匹配,应用层数据包分类器返回信号,IP信息包过滤器就按照规则定义的处理方式给这个数据包做个标记,同时会在连接跟踪表里把这条连接记录下来。流量控制器的处理过程首先,流量控制器在网络接口处绑定一个队列,并为这个队列创建多个分类,用于管理和调度待发的数据,流量控制器将流经网络接口的数据放入一个队列中,对它们进行分类,并根据过滤规则把数据包放入每个分类的分队列中。其次,流量控制器为每个分类设置一条或多条过滤规则。当数据包进入分类后,相应的过滤规则根据数据包的各个字段或者标志位进行匹配。当数据包被匹配后就会对它执行相应的判决,决定这个数据包是丢弃、延迟还是继续流入下一层分类。最后,所有没有被丢弃、需要通过网络接口发送的数据包都会被放入某个子类的分队列中等待发送。流量控制器按照不同的速率和优先级到每个队列中取出数据包,交给网络接口进行发送。网桥用来实现对互联网和局域网流入、流出的数据包进行转发。
权利要求1.一种网络应用层流量管理系统,其特征在于,包括IP信息包过滤器、应用层数据包分类器、流量控制器、第一网桥、第二网桥和防火墙,应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器相连,第一网桥和第二网桥均与流量控制器相连; 第一网桥通过防火墙接入到互联网中,第二网桥接入到局域网中。
2.根据权利要求1所述的网络应用层流量管理系统,其特征在于,应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器采用六类双绞线相连,第一网桥和第二网桥均与流量控制器采用采用六类双绞线相连。
专利摘要本实用新型公开了一种网络应用层流量管理系统,包括IP信息包过滤器、应用层数据包分类器、流量控制器、第一网桥、第二网桥和防火墙,应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器相连,第一网桥和第二网桥均与流量控制器相连;第一网桥通过防火墙接入到互联网中,第二网桥接入到局域网中。该网络应用层流量管理系统部署在局域网与互联网的接口处,为低于60000个并发连接数的网络承担流量管理任务。
文档编号H04L12/801GK202856778SQ20122031737
公开日2013年4月3日 申请日期2012年7月3日 优先权日2012年7月3日
发明者彭俊, 刘湘平, 姚利军, 黄征, 刘炎艳, 郭爱兰 申请人:湖南省烟草公司长沙市公司