摘要：針對(duì)目前企業(yè)局域網(wǎng)中存在的個(gè)別用戶頻繁使用以P2P技術(shù)為基礎(chǔ)的在線視頻、文件下載等應(yīng)用，造成局局域網(wǎng)網(wǎng)絡(luò)帶寬被占用，影響到其他用戶使用網(wǎng)絡(luò)的情況，研究并設(shè)計(jì)了基于局域網(wǎng)的流量控制方案，重點(diǎn)研究了P2P流量的識(shí)別技術(shù)和基于Linux平臺(tái)的流量控制方案，并利用開源的Netfilter架構(gòu)對(duì)P2P流量進(jìn)行精確控制。該方案適用于企業(yè)局域網(wǎng)等小型網(wǎng)絡(luò)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中不同類型流量的區(qū)分與控制，并具有良好的擴(kuò)展性及可移植性。

關(guān)鍵詞：局域網(wǎng)；流量控制；類型識(shí)別

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 20-0000-02

1 引言

目前，很多企業(yè)為了方便與客戶及其他相關(guān)部門的交流，普遍將企業(yè)的局域網(wǎng)與互聯(lián)網(wǎng)連接。這一方式在方便了業(yè)務(wù)聯(lián)系與交流外，也帶來了一系列的問題，一些員工在工作時(shí)間利用網(wǎng)絡(luò)與朋友聊天、瀏覽與工作無關(guān)的信息、下載歌曲等，尤其是使用基于P2P技術(shù)的視頻點(diǎn)播、文件下載等功能時(shí)，會(huì)占用大量的網(wǎng)絡(luò)帶寬，直接影響到其他員工的上網(wǎng)速度，致使正常的工作業(yè)務(wù)難以展開。為了解決這一問題，局域網(wǎng)流量控制技術(shù)逐漸受到人們的關(guān)注，流量控制可以避免帶寬浪費(fèi)，提高帶寬的利用率，提高網(wǎng)絡(luò)的服務(wù)質(zhì)量。企業(yè)的網(wǎng)絡(luò)管理人員可以通過選擇設(shè)置，自主禁止一些占用帶寬較多但業(yè)務(wù)價(jià)值不高的網(wǎng)絡(luò)數(shù)據(jù)流，從而保證企業(yè)的主要業(yè)務(wù)通信不受影響。傳統(tǒng)的局域網(wǎng)流量控制需要輸入較多的字符命令，需要操作者具有較高的計(jì)算機(jī)操作能力和網(wǎng)絡(luò)技術(shù)水平。利用基于Linux操作系統(tǒng)的Netfilter框架開發(fā)局域網(wǎng)流量控制系統(tǒng)，可以在圖形化管理界面下實(shí)現(xiàn)流量控制的各項(xiàng)功能。

2 流量識(shí)別與控制技術(shù)

流量的識(shí)別技術(shù)是流量控制研究的前提，直接影響到流量控制的使用效果。目前使用較為廣泛的流量識(shí)別技術(shù)包括兩種[1]，一種是特征字檢測(cè)方法，它是以深度包檢測(cè)技術(shù)為技術(shù)基礎(chǔ)；一種是數(shù)據(jù)流特征檢測(cè)方法，它是以深度流檢測(cè)技術(shù)為技術(shù)基礎(chǔ)。

對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的識(shí)別完成后，對(duì)于需要控制的指定流量進(jìn)行限制，這一技術(shù)被稱為流量控制技術(shù)。具體的工作流程是先利用網(wǎng)絡(luò)中的連接設(shè)備，如網(wǎng)關(guān)等，收集被控制鏈路的相關(guān)信息，然后根據(jù)流量識(shí)別的結(jié)果，采用某種限流算法將需要控制流量的協(xié)議或應(yīng)用的帶寬控制在設(shè)定的范圍內(nèi)。流量控制技術(shù)主要采用的方法包括TCP整形技術(shù)、PFQ（基于流的隊(duì)列法）技術(shù)、旁路干擾技術(shù)等[2]。其中，TCP整形技術(shù)主要是利用TCP協(xié)議的滑動(dòng)窗口機(jī)制來實(shí)現(xiàn)流利控制，通過發(fā)送通告信息來實(shí)現(xiàn)對(duì)發(fā)送方窗口的限制與調(diào)整；PFQ技術(shù)利用了TCP協(xié)議中的緩慢啟動(dòng)和擁塞回避兩個(gè)機(jī)制來實(shí)現(xiàn)帶寬的最大化利用；旁路干擾技術(shù)通過復(fù)制數(shù)據(jù)流的五元組信息，偽造成數(shù)據(jù)的接收方，通過發(fā)送TCP數(shù)據(jù)包來實(shí)現(xiàn)對(duì)流量的控制?；贚inux操作系統(tǒng)的TC是一種較為常用的流量控制工具，它采用基于路由的方式，通過在輸出端口建立流量控制隊(duì)列來實(shí)現(xiàn)對(duì)流量的控制。

3 局域網(wǎng)流量控制方案的總體設(shè)計(jì)

企業(yè)局域網(wǎng)流量控制方案的設(shè)計(jì)目的，是為了能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)的各類應(yīng)用流量進(jìn)行有效的監(jiān)督和控制，并且能夠根據(jù)網(wǎng)絡(luò)管理員的設(shè)置和指令，生成流量控制策略，實(shí)現(xiàn)對(duì)特定設(shè)備的特定協(xié)議進(jìn)行精確有效的流量控制。

方案的總體架構(gòu)如所示：

方案主要包括四個(gè)大的組成模塊，分別是后臺(tái)流量處理模塊、前臺(tái)指令和策略分發(fā)模塊、數(shù)據(jù)庫(kù)管理模塊、流量統(tǒng)計(jì)與查詢模塊。

3.1 后臺(tái)流量處理模塊

這一模塊是整個(gè)方案的重點(diǎn)與核心，功能上負(fù)責(zé)實(shí)現(xiàn)對(duì)所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行類型的準(zhǔn)確識(shí)別，然后根據(jù)前臺(tái)分發(fā)的流量控制策略，對(duì)指定的協(xié)議進(jìn)行帶寬限制或者截?cái)噙B接的操作。在協(xié)議的識(shí)別方面，主要采用的是深度數(shù)據(jù)包檢測(cè)識(shí)別技術(shù)，以及針對(duì)于P2P的數(shù)據(jù)流識(shí)別技術(shù)。

后臺(tái)流量處理模塊包括了三個(gè)子模塊。深度數(shù)據(jù)包檢測(cè)識(shí)別模塊主要是負(fù)責(zé)對(duì)數(shù)據(jù)流中特征信息的提取與識(shí)別，處理的對(duì)象是網(wǎng)絡(luò)報(bào)文中的數(shù)據(jù)負(fù)載部分，通過對(duì)比數(shù)據(jù)包的特征與類型數(shù)據(jù)庫(kù)中的特征信息，達(dá)到確定流量具體類型的目的；P2P行為識(shí)別模塊是對(duì)深度流檢測(cè)技術(shù)的擴(kuò)展應(yīng)用，由于深度數(shù)據(jù)包檢測(cè)技術(shù)雖然所有較高的檢測(cè)準(zhǔn)確度，但無法對(duì)特征信息不明顯的數(shù)據(jù)包進(jìn)行識(shí)別，而如P2P之類占用大量網(wǎng)絡(luò)帶寬的協(xié)議在加密后，數(shù)據(jù)包的特征信息十分不明顯，需要利用基于數(shù)據(jù)流檢測(cè)技術(shù)進(jìn)行二次識(shí)別，P2P行為識(shí)別模塊專門針對(duì)P2P協(xié)議的流行為特征進(jìn)行了設(shè)計(jì)，使方案具備對(duì)加密P2P流量的識(shí)別能力；策略執(zhí)行模塊完成的工作主要是根據(jù)前臺(tái)分發(fā)的流量控制策略，結(jié)合經(jīng)過流量類型識(shí)別后需要進(jìn)行流量限制的協(xié)議或者應(yīng)用，限制其帶寬或者截?cái)嗥溥B接。

3.2 前臺(tái)指令和策略分發(fā)模塊

該模塊的主要功能包括制定和更新流量控制策略，將控制策略發(fā)送到后臺(tái)模塊進(jìn)行處理。該模塊是系統(tǒng)與用戶之間的交互接口，網(wǎng)絡(luò)管理員通過該模塊選擇或者輸入流量控制的指令，輸入的信息包括需要控制流量的協(xié)議、需要截?cái)嗤ㄐ胚B接的應(yīng)用程序等。模塊根據(jù)用戶的輸入自動(dòng)生成控制策略，其中包括的內(nèi)容有目標(biāo)設(shè)備、目標(biāo)協(xié)議、控制方式（限流或者是阻斷）等。

3.3 數(shù)據(jù)庫(kù)管理模塊

數(shù)據(jù)庫(kù)管理模塊主要完成的工作是存儲(chǔ)系統(tǒng)中的所有數(shù)據(jù)，并為其他功能模塊提供數(shù)據(jù)服務(wù)。具體的功能包括：存儲(chǔ)流量統(tǒng)計(jì)信息、提供數(shù)據(jù)查詢服務(wù)、為前臺(tái)策略與分發(fā)模塊提供策略存儲(chǔ)服務(wù)、為后臺(tái)處理模塊提供策略的讀取服務(wù)、為流量統(tǒng)計(jì)模塊提供查詢與報(bào)表服務(wù)。

3.4 流量統(tǒng)計(jì)模塊

流量統(tǒng)計(jì)模塊支持兩種網(wǎng)絡(luò)流量的統(tǒng)計(jì)模式，一種是實(shí)時(shí)統(tǒng)計(jì)，一種是歷史查詢統(tǒng)計(jì)。實(shí)時(shí)統(tǒng)計(jì)是通過動(dòng)態(tài)的圖形化界面，采用圖形和文字相結(jié)合的方式，向系統(tǒng)管理員提供當(dāng)前網(wǎng)絡(luò)中各種不同類型網(wǎng)絡(luò)流量的實(shí)時(shí)變化情況；歷史查詢統(tǒng)計(jì)是通過對(duì)數(shù)據(jù)庫(kù)中歷史流量記錄的查詢，以圖形化的方式將指定時(shí)間范圍內(nèi)的網(wǎng)絡(luò)流量展現(xiàn)給用戶。

系統(tǒng)部署于一臺(tái)雙網(wǎng)卡的服務(wù)器上，其中的一張網(wǎng)卡連接到互聯(lián)網(wǎng)上，另一張網(wǎng)卡連接企業(yè)內(nèi)部的局域網(wǎng)。連接局域網(wǎng)的網(wǎng)卡作為內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)，同時(shí)配置SNAT，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的轉(zhuǎn)發(fā)。具體的部署圖如圖2所示：

參考文獻(xiàn)：

[1]周世杰，秦志光，吳春江.對(duì)待網(wǎng)絡(luò)流量檢測(cè)技術(shù)研究[EB/OL].http：//www.qkzz.net/ magazine/1009-6868/2007/0501695937.htm，2007.

[2]米淑云.IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2009.

[3]李霞麗.基于Linux的網(wǎng)絡(luò)流量測(cè)量技術(shù)研究和Netfilter Prober的設(shè)計(jì)與實(shí)現(xiàn)[D].西安交通大學(xué)，2004.