[实用新型]一种网络应用层流量管理系统

说明书

技术领域

本实用新型涉及一种网络应用层流量管理系统。

背景技术

随着Internet网络的迅猛发展，局域网对它的应用和数据访问流量越来越大，局域网内部游戏、迅雷、快播等P2P应用的大量出现，导致网络出口的压力越来越大。传统的流量管理系统基于网络层数据包的源和目的IP地址、端口以及协议类型进行控制，无法基于应用数据的内容和行为来管理流量（例如迅雷先采用基于TCP的HTTP协议传输建立P2P连接后，数据传输时将产生大量随机端口的UDP数据包），基于标准协议的网络流量控制系统已经越来越不能满足网络发展的需求了，从应用层区分数据包并进行流量控制，能保证网络的稳定和畅通。

当前企业中小型局域网占全球局域网总数量的80%，如何对中小型企业局域网进行有效的流量管理成为亟待解决的问题，一个高效、安全、价格低廉的网络应用级流量管理系统，具有广阔的市场应用前景。

实用新型内容

本实用新型所要解决的技术问题是提供一种网络应用层流量管理系统，该网络应用层流量管理系统能通过对IP应用数据包的识别并分类标记，为低于60000个并发连接数的网络承担流量管理任务。

实用新型的技术解决方案如下：

一种网络应用层流量管理系统，包括IP信息包过滤器、应用层数据包分类器、流量控制器、第一网桥、第二网桥和防火墙，应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器相连，第一网桥和第二网桥均与流量控制器相连；第一网桥通过防火墙接入到互联网中，第二网桥接入到局域网中。

应用层数据包分类器、流量控制器、第一网桥和第二网桥均与IP信息包过滤器采用六类双绞线相连，第一网桥和第二网桥均与流量控制器采用采用六类双绞线相连。

IP信息包过滤器是与2.4.x及以上版本Linux内核集成的IP信息包过滤系统，也称为内核空间（kernel space），是内核的一部分，它包含了若干组的信息包过滤表，这些信息包过滤表包含内核用来控制信息包过滤处理的规则集。工具模块IPTables连接到IP信息包过滤器的架构中，并允许使用者对信息包过滤表进行过滤、地址转换、处理等操作。IP信息包过滤器提供了一个框架规则，将对网络代码的直接干涉降到最低，并允许用规定的接口将其他包处理代码以模块的形式添加到内核中，具有极强的灵活性。

应用层数据包分类器使Linux的IP信息包过滤器支持开放式系统互联参考模型（OSI模型）中的第七层（即应用层）的过滤功能，限制P2P、即时通讯(MSN、QQ、AIM)软件。它加强IPTables分析数据包的能力，IPTables在处理封包时不是简单的基于如网络应用端口号，而是用正则表达式匹配应用层协议（HTTP、FTP）的传输数据，这样更能准确的分析数据包，为流量控制器实现应用层数据过滤奠定了基础。

数据包传输到IP信息包过滤器后，会按照传输规则将数据包特征提交给应用层数据包分类器进行匹配，如匹配成功，应用层数据包分类器返回信号，IP信息包过滤器就按照规则定义的处理方式给这个数据包做个标记，同时会在连接跟踪表里把这条连接记录下来。

流量控制器是Linux的自带模块，它利用队列技术规定建立处理数据包的队列，并定义队列中的数据包被发送的方式，从而实现对流量的控制。IP信息包过滤器在mangle表内定义规则设置数据包的MARK值，并将数据包传输到流量控制器。流量控制器的主要工作是根据IP信息包过滤器做的标记把不同应用层协议的数据包放到相应的数据类别里，数据类别的主要作用是完成数据包发送速率的控制。如果定义了优先级别，那么在发送队列里还可以根据优先级别把数据发送出去。如果没有定义，默认采用先进先出的方式把数据包发送出去。

网桥必须支持生成树协议(STP-Spanning Tree Protocol)，用来对局域网与互联网的数据包进行转发，加入网桥的物理端口可以不分配IP地址，只在网桥虚拟端口(BVI–Brige Virtual Interface)上分配IP地址。虚拟端口可以完全当作一个普通端口来使用，并且支持IP信息包过滤器的各种应用和路由。

有益效果：

本实用新型的网络应用层流量管理系统，是基于Linux平台在局域网和互联网接口处配置的简单的网络流量管理系统，该系统对硬件要求不高，对于网络中同时并发连接数低于60000的网络来说，采用目前普通个人台式电脑的硬件配置即可满足其需求了。系统安全、稳定，相对目前已有的流量控制系统比较，价格低廉。