随着Internet规模的日益扩大,各种应用以及网络流量迅猛增长,需要网络设备提供更高的带宽和数据分类处理能力。数据包分类技术对于防火墙、入侵检测、Qos、虚拟专用网、流量计费等方面的应用具有重要的意义,广泛应用在路由器、高层交换机等网络设备上。 本文对包分类技术的研究背景、研究现状、应用等进行了系统性阐述。分析了经典包分类算法的主要思想和优缺点。对经典包分类算法—RFC分类算法进行了深入研究,并针对该算法在大规则、多维、IPv6应用环境下可能出现内存消耗过大的问题,提出了ERFC分类算法。ERFC算法综合考虑了空间和时间性能,采取将源、目地址字段与其他字段分开处理的策略,对地址字段使用几何学点定位分类模式进行处理,有效地克服了RFC算法在上述应用环境中的不足。 论文还对Linux netfilter/iptables防火墙的实现机制进行了深入的分析。随着网络带宽的增大和网络流量的迅猛增长,Linux防火墙原有的线性规则匹配方式可能成为网络的性能瓶颈,针对该问题,论文在netfilter框架下设计实现了基于ERFC算法的快速过滤规则查找模块,提升Linux防火墙的性能。 最后,通过搭建完整的试验测试平台,对ERFC分类算法的性能及其在Linux防火墙中的实际应用效果进行了测试分析。试验结果表明,与RFC算法和线性算法相比,ERFC算法具有较好的综合性能,适用于大规则、多维和IPv6应用环境。