数据包分类技术的研究.pdfVIP

数据包分类技术研究 李建庆w，丁炜 I)(北京邮电大学蛙续教盲学院，北京l{)0876) 001 】(东方通信礁柠有限心司技术中·。，杭州313j 随着因特网向商业化的转变，其用尸时网络的性能、安全和服务种类需求也越 采越多样化，而因特网的业务提供商为了商业利益也迫切希望满足用户的这种需 求，按照用尸的具体要求和服务价格，向其提供满意的服务，即向用尸提供分类业 务．要想提供这种分类业务，目特网的耘心设备路由嚣碚领能够对数据包进行有效 的分类．要想对敷据包进行分美，础须对其分类技术进行最八研咒．本支分析了数 据包分类技术出现的背号，详细描违了分姜问题的数学模型，重点讨论了各种分娄 算法履其适用范围． 1数据包分类技术出现的背景 从技术角度看，由于网络安全、服务质量／分娄业务{QoS／CoS)和新路由选择三方 面的需求，我们必须对数据包进行分类．QoS／CoS和新路由选择是下一代路由器的重要 组成部分。防火墙是网络安全的一个具体应用，已广泛使用于现有的因特网．下面我们 分别对这三种需求出现的背景进行具体分析。 网络安全：因特网的安全性一直是一个讨论比较多的话题．一般性的安奎问题就是 防止芙些用户访问未经授权的网络资源。比如：一个企业连接到因持网，很可能它有多 个子网分布在各地．对于各个局域网来说，可能只允许本企业的局域网用户访问内部资 源，而必须阻止来自因特网上其它用户的非法访问，将其数据包丢掉、以实现防火墙的 功能．F方火墙由两种基本技术实现，这两种技术是包过滤和应用层网关(也称之为代理 服务)。包的过滤就是把一个屏蔽路由器放在外部网和内部网之间，对经过它的数据包 根据其类型决定转发或丢弃。这种类型的路由器和普通的路由器不太一样，它在对数据 包处理时，不仅仅根据数据包的三层头，还要考虑四层甚至应用层的头．应用层网关是 运行在防火墙主机上的特殊服务程序，它处理用户请求并根据相应的要求对数据包进行 转发．代理服务的优点是它能对每种业务进行特别处理，能够实现比屏蔽路由器更为复 杂的处理策略，可以对所有的访问请求进行授权。由于它能够分析协议，代理服务可以 提供更加智能的登录，以防恶意攻击。另一方面，人们可以根据需要经常对代理服务进 行配置，对客户端和服务器进行修改．在实际应用中，这两种技术可以组合使用。这样 的机制在网络的边缘是十分需要的．要实现这些机制，首先就必颊能够识别到达的fP 包，然后才能对其进行相应的处理． QoS／CoS：商业化的因特网需要根据业务性质．用户要求和提供服务的价格向不同的 用户提供不同的服务质量保证(比如时延和带宽)．无论是实现QoS还是CoS，都要首 先识别】P包，其原因是实现Qos需要对每个流进行排队，然后进行调度；实现CoS需要 对IP包设定交换优先级，然后按照优先级和输出端口的空闲情况进行输八端口的智能排 队，以此确定IP包通过交挟矩阵的先后次序．因此，提供服务质量保证的前提也是识别 IF包，对其进行分类． 显式路由：传统因特网上的路由协议如OSPF只提供源和目的地之间的一条最短路 径，这样的路由方式不是一种智能方式，网络拥塞难以避免，而且对于某些线路拥塞而 另外一些线路却空闲的情况，网络的利用车明显降低了．同时TCP协议处理拥塞的办法 是滑动窗口机制，通过拥塞发生时降低发送端的发送速率降低拥塞．在这样的条件下， 图特网不能提供服务质量保证和有效利用网络带宽．现在解决这两个问题的一个办法就 是通过因特网上端到端的显式路由，将业务量在穿过网络的不同路径上进行合理分配． 可眦认为，显式路由是因特网上的电路交换．同时，为了保障网络运行的安全可靠，固 特网上需要建立备份链路，这也是显式路由的一个应用场合。要支持显式路由，仅仅根 据IP包的目的地址寻址是不够的，格颓根据IP报头的多个域识别业务流，然后决定如 何进行转发。 上面我们分析了敷据包分类技术出现的背号，下面我们采描itlr占的数学模型。 2分类问题模型描述 我们假定每个数据包的报头中有K“域和过疟器有关，每个过麝器F是一个i／i、元 和源端口号(1 6比峙)以及协议标志。由于不同的协议对其标志都有一定的限制我们 可以将它0]与协议域