第5章 第7层防火墙与服务质量.pptVIP

素材天下网 -PPT模板免费下载 素材天下网 -PPT模板免费下载 素材天下网 -PPT模板免费下载 素材天下网 -PPT模板免费下载 第5章 第7层防火墙与服务质量 5.1 iproute2和流量控制 iprouter2是一个软件包，它可以为高级路 由、隧道和流量控制提供各种工具。 在Linux上建立防火墙和实现服务质量分别需要两个软件包：netfilter和iproute。 iprouter2软件包有两个复杂的工具： 一个是IP—用来建立第3层通信 一个是tc—代表流量控制，用以实现QoS 网络配置工具IP IP工具提供了Linux所需要的大部分网络配置，可以对网络接口、ARP、策略路由和隧道等进行配置。 IP链路命令现实了网络设备的配置，这些配置可以用IP链路设置来更改。 注意：该命令用来修改设备的属性，而不是IP地址。 网络配置工具IP IP地址可以使用ip addr命令来配置。 该命令课用来为网络设备增加一个主或次IP地址，为每个网络设备显示IP地址或从接口删除IP地址。 ip tunnel用于隧道连接。 ip tool提供一种监视路由、地址和设备实时状态的方法。 流量控制命令tc 通过tc命令，可以将一台Linux系统的PC机转换成功能强大，价格便宜的专用QoS设备或交换机。 常用的tc命令有： tc qdisc 操作排队规律 tc class 操作类 tc filfter 操作用于标示数据的过滤器 排队分组 思考1：何为排队，为什么要排队？ 排队：?网络中数据传输不是杂乱无章的， 需要通过排队来确定数据发送的方式。 ?使用排队控制发送多少数据，以及 数据发送的优先级。 ?但是，排队没有办法使数据依次到 达目的地，数据的到达具有随机性 排队分组 思考2：如何限制某些ip地址的上传下载速度？ 流量控制： ?对于上传下载的速度问题，TCP就具有流量控制功能。 ?但在实际应用中，我们还需要根据主机的能力协调两个同心主机的分组流速度。 ?UDP虽然不能控制流量，但是作为传输协议应用程序可以在其内部实现流量控制。 QoS 前述解决方法的前提是在理想情况下实现的， 在实际网络中传递数据时，我们会碰到人为的恶意 流量攻击，这时怎么解决流量问题？ 当然，我们可以采用Linux系统中的tc命令在 网络中构建不同的QoS策略，来解决问题。 无类排队规律（qdiscs） QoS(服务质量):网络的一种安全机制，是用来解决网 络延迟和阻塞等问题的一种技术。当网络过载或拥塞 时，QoS能保证重要业务不受延迟或丢弃，同时保证网 络的高效运行。 在我们考虑构建何种QoS策略之前，首先要清楚当 前数据在网络中排队方式，不同的排队方式构建不同 的策略来解决问题。 排队规律有两种：无状态和有状态 无类排队规律（qdiscs） 无类qdiscs是最简单的一种排队规律，因为它能 accept、drop、delary或reschedule数据，将它添加 应用在某个接口上，并仅限于整形所在的接口上的全 部流量。 在Linux系统上的实现方法有： FIFO（先进先出） pfifo_fast Token Bucket Filter(tbf)令牌桶过滤器 增强随机公平队列（ESFQ） 随机公平队列（SFQ） 随机早起检测和通用随机早期检测（RED和GRED） 有类排队规律 有类排队的实现都是基于层次化的。 首先，每一个接口有一个可以与内核通信的root qdisc 其次，有一个附加到root qdiscs的子类 子类进一步有一个将qdiscs附加到安排数据和叶子类的子类，它具有子类的子类。 添加P70页 图5-3 有类排队规律 最好最常用的有类排队规则是CBQ(基于类的排队) 和HTB(层次化令牌桶)。 CBQ和HTB qdiscs都允许用户创建子CBQ和HTB类。 HTB要比CBQ简单，因为CBQ的命令参数较多。 CBQ可以用于更复杂、更高级的配置。 书上第5.1.7节举出了实际的例子，大家可以参看。 5.2 第7层过滤 经典的互联网参考模型：OSI和TCP/IP 添加P76页 图5-5 5.2 第7层过滤 通过上图的比较，我们可以看出 OSI的第7层为应用层 OSI模型的第7、6、5层压缩成了TCP/IP的第4层。 无论什么样的模型，对某些应用的流量过滤和区分优先次序，可能很容易也可能会很难；另外一个问题就是，如何过过滤属于P2P（对等）的应用。 如何解决？ 提出了称为“第7层过滤”的方法。 顾名思义“第7层过滤”是一种过滤第7层数据（L7-filter）的方