企业局域网流量控制方案探究及设计摘要：针对目前企业局域网中存在的个别用户频繁使用以P2P技术为基础的在线视频、文件下载等应用，造成局局域网网络带宽被占用，影响到其他用户使用网络的情况，研究并设计了基于局域网的流量控制方案，重点研究了P2P流量的识别技术和基于Linux平台的流量控制方案，并利用开源的Netfilter架构对P2P流量进行精确控制。该方案适用于企业局域网等小型网络，可以实现对网络中不同类型流量的区分与控制，并具有良好的扩展性及可移植性。关键词：局域网；流量控制；类型识别：TP393.1文献标识码：A：1007-9599(2012)20-0000-021引言目前，很多企业为了方便与客户及其他相关部门的交流,普遍将企业的局域网与互联网连接。这一方式在方便了业务联系与交流外，也带来了一系列的问题，一些员工在工作时间利用网络与朋友聊天、浏览与工作无关的信息、下载歌曲等，尤其是使用基于P2P技术的视频点播、文件下载等功能时，会占用大量的网络带宽，直接影响到其他员工的上网速度，致使正常的工作业务难以展开。为了解决这一问题，局域网流量控制技术逐渐受到人们的关注，流量控制可以避免带宽浪费，提高带宽的利用率，提高网络的服务质量。企业的网络管理人员可以通过选择设置，自主禁止一些占用带宽较多但业务价值不高的网络数据流，从而保证企业的主要业务通信不受影响。传统的局域网流量控制需要输入较多的字符命令，需要操作者具有较高的计算机操作能力和网络技术水平。利用基于Linux操作系统的Netfilter框架开发局域网流量控制系统，可以在图形化管理界面下实现流量控制的各项功能。2流量识别与控制技术流量的识别技术是流量控制研究的前提，直接影响到流量控制的使用效果。目前使用较为广泛的流量识别技术包括两种⑴,一种是特征字检测方法，它是以深度包检测技术为技术基础；一种是数据流特征检测方法，它是以深度流检测技术为技术基础。对网络数据流量的识别完成后，对于需要控制的指定流量进行限制，这一技术被称为流量控制技术。具体的工作流程是先利用网络中的连接设备，如网关等，收集被控制链路的相关信息，然后根据流量识别的结果，采用某种限流算法将需要控制流量的协议或应用的带宽控制在设定的范围内。流量控制技术主要采用的方法包括TCP整形技术、PFQ（基于流的队列法）技术、旁路干扰技术等［2］。其中，TCP整形技术主要是利用TCP协议的滑动窗口机制来实现流利控制,通过发送通告信息来实现对发送方窗口的限制与调整；PFQ技术利用了TCP协议中的缓慢启动和拥塞回避两个机制来实现带宽的最大化利用；旁路干扰技术通过复制数据流的五元组信息，伪造成数据的接收方，通过发送TCP数据包来实现对流量的控制。基于Linux操作系统的TC是一种较为常用的流量控制工具，它采用基于路由的方式，通过在输出端口建立流量控制队列来实现对流量的控制。3局域网流量控制方案的总体设计企业局域网流量控制方案的设计目的,是为了能够对企业内部网络的各类应用流量进行有效的监督和控制，并且能够根据网络管理员的设置和指令，生成流量控制策略，实现对特定设备的特定协议进行精确有效的流量控制。方案的总体架构如所示：方案主要包括四个大的组成模块，分别是后台流量处理模块、前台指令和策略分发模块、数据库管理模块、流量统计与查询模块。3.1后台流量处理模块这一模块是整个方案的重点与核心，功能上负责实现对所有流经的网络数据流进行类型的准确识别，然后根据前台分发的流量控制策略，对指定的协议进行带宽限制或者截断连接的操作。在协议的识别方面,主要采用的是深度数据包的指令，输入的信息包括需要控制流量的协议、需要截断通检测识别技术，以及针对于P2P的数据流识别技术。后台流量处理模块包括了三个子模块。深度数据包检测识别模块主要是负责对数据流中特征信息的提取与识别，处理的对象是网络报文中的数据负载部分，通过对比数据包的特征与类型数据库中的特征信息，达到确定流量具体类型的目的；P2P行为识别模块是对深度流检测技术的扩展应用,由于深度数据包检测技术虽然所有较高的检测准确度，但无法对特征信息不明显的数据包进行识别，而如P2P之类占用...