技術領域

本實用新型涉及一種網絡應用層流量管理系統。

背景技術

隨著Internet網絡的迅猛發展，局域網對它的應用和數據訪問流量越來越大，局域網內部游戲、迅雷、快播等P2P應用的大量出現，導致網絡出口的壓力越來越大。傳統的流量管理系統基于網絡層數據包的源和目的IP地址、端口以及協議類型進行控制，無法基于應用數據的內容和行為來管理流量（例如迅雷先采用基于TCP的HTTP協議傳輸建立P2P連接后，數據傳輸時將產生大量隨機端口的UDP數據包），基于標準協議的網絡流量控制系統已經越來越不能滿足網絡發展的需求了，從應用層區分數據包并進行流量控制，能保證網絡的穩定和暢通。

當前企業中小型局域網占全球局域網總數量的80%，如何對中小型企業局域網進行有效的流量管理成為亟待解決的問題，一個高效、安全、價格低廉的網絡應用級流量管理系統，具有廣闊的市場應用前景。

實用新型內容

本實用新型所要解決的技術問題是提供一種網絡應用層流量管理系統，該網絡應用層流量管理系統能通過對IP應用數據包的識別并分類標記，為低于60000個并發連接數的網絡承擔流量管理任務。

實用新型的技術解決方案如下：

一種網絡應用層流量管理系統，包括IP信息包過濾器、應用層數據包分類器、流量控制器、第一網橋、第二網橋和防火墻，應用層數據包分類器、流量控制器、第一網橋和第二網橋均與IP信息包過濾器相連，第一網橋和第二網橋均與流量控制器相連；第一網橋通過防火墻接入到互聯網中，第二網橋接入到局域網中。

應用層數據包分類器、流量控制器、第一網橋和第二網橋均與IP信息包過濾器采用六類雙絞線相連，第一網橋和第二網橋均與流量控制器采用采用六類雙絞線相連。

IP信息包過濾器是與2.4.x及以上版本Linux內核集成的IP信息包過濾系統，也稱為內核空間（kernel?space），是內核的一部分，它包含了若干組的信息包過濾表，這些信息包過濾表包含內核用來控制信息包過濾處理的規則集。工具模塊IPTables連接到IP信息包過濾器的架構中，并允許使用者對信息包過濾表進行過濾、地址轉換、處理等操作。IP信息包過濾器提供了一個框架規則，將對網絡代碼的直接干涉降到最低，并允許用規定的接口將其他包處理代碼以模塊的形式添加到內核中，具有極強的靈活性。

應用層數據包分類器使Linux的IP信息包過濾器支持開放式系統互聯參考模型（OSI模型）中的第七層（即應用層）的過濾功能，限制P2P、即時通訊(MSN、QQ、AIM)軟件。它加強IPTables分析數據包的能力，IPTables在處理封包時不是簡單的基于如網絡應用端口號，而是用正則表達式匹配應用層協議（HTTP、FTP）的傳輸數據，這樣更能準確的分析數據包，為流量控制器實現應用層數據過濾奠定了基礎。

數據包傳輸到IP信息包過濾器后，會按照傳輸規則將數據包特征提交給應用層數據包分類器進行匹配，如匹配成功，應用層數據包分類器返回信號，IP信息包過濾器就按照規則定義的處理方式給這個數據包做個標記，同時會在連接跟蹤表里把這條連接記錄下來。

流量控制器是Linux的自帶模塊，它利用隊列技術規定建立處理數據包的隊列，并定義隊列中的數據包被發送的方式，從而實現對流量的控制。IP信息包過濾器在mangle表內定義規則設置數據包的MARK值，并將數據包傳輸到流量控制器。流量控制器的主要工作是根據IP信息包過濾器做的標記把不同應用層協議的數據包放到相應的數據類別里，數據類別的主要作用是完成數據包發送速率的控制。如果定義了優先級別，那么在發送隊列里還可以根據優先級別把數據發送出去。如果沒有定義，默認采用先進先出的方式把數據包發送出去。

網橋必須支持生成樹協議(STP-Spanning?Tree?Protocol)，用來對局域網與互聯網的數據包進行轉發，加入網橋的物理端口可以不分配IP地址，只在網橋虛擬端口(BVI–Brige?Virtual?Interface)上分配IP地址。虛擬端口可以完全當作一個普通端口來使用，并且支持IP信息包過濾器的各種應用和路由。

有益效果：

本實用新型的網絡應用層流量管理系統，是基于Linux平臺在局域網和互聯網接口處配置的簡單的網絡流量管理系統，該系統對硬件要求不高，對于網絡中同時并發連接數低于60000的網絡來說，采用目前普通個人臺式電腦的硬件配置即可滿足其需求了。系統安全、穩定，相對目前已有的流量控制系統比較，價格低廉。