精华内容
下载资源
问答
  • Linux路由器.pdf

    2021-09-07 00:41:17
    Linux路由器.pdf
  • 基于LINUX路由器的校园网IP地址不足的解决方案.pdf
  • 主要介绍了linux 路由器限速实现方法的相关资料,这里实现该功能进行了详细的讲解,一步步实现,需要的朋友可以参考下
  • Linux路由器的实现.pdf

    2021-09-07 00:59:20
    Linux路由器的实现.pdf
  • 基于LINUX路由器的中小企业IP地址不足的解决方案.pdf
  • Linux路由器的宽带复用.pdf
  • LinuX路由器流量统计系统.pdf
  • LRP架构Linux路由器/防火墙.pdf
  • 使用PC机组建LINUX路由器.pdf
  • linux路由器Quagga的安装,具体描述安装的过程需要的命令行
  • Linux路由器

    千次阅读 2014-12-04 15:48:36
    宽带上网已经不是什么新鲜事情,人们对相关的网络器件已经不再陌生,比如说常见的路由器。对于一般的网络用户,他们能知道怎样使用路由器来上网、玩游戏等就已经感到很满足了,  通常情况下对路由器的深层技术很少...
    宽带上网已经不是什么新鲜事情,人们对相关的网络器件已经不再陌生,比如说常见的路由器。对于一般的网络用户,他们能知道怎样使用路由器来上网、玩游戏等就已经感到很满足了, 
    
    通常情况下对路由器的深层技术很少去过问研究,但做为兴趣广泛的技术爱好者,对这方面的知识是非常感兴趣的。但限于各种条件的制约,这些爱好者都非开发者,很大程度上无法深入了解真正的技术实现过程以及相关的核心内幕。正是基于此点,笔者凭借自身的知识沉淀,尽最大努力为爱好技术的读者架设一坐能通向深层核心的桥梁,为大家揭开路由器的神秘面纱,剖开其核心内脏。为使读者能清晰明白的理解掌握,笔者尽量将专业的技术内容转化为容易接受的知识讲解,其中可能有不足偏颇之处,还请大家多见谅。
      概述
      什么是路由器?
      互联网是依靠路由器连接起来的,路由器是互联网或者说IP网络的核心设备。宽带接入的不断增长,带动了路由器的需求不断增加。
      路由器究竟是什么样的技术产物?
      谈到路由器的开发,我们就不免要谈到“嵌入式”设备的开发,没错,通俗的说,路由器就是一种嵌入式产品。那么究竟什么是嵌入式设备呢?
      其实就目前而言,嵌入式设备已经不断深入我们的日常生活方方面面。通俗的讲,嵌入式设备是指具有计算机功能,但又不称为计算机的设备或器材,它几乎包括了我们周围的所有电器设备:PDA、手机、机顶盒、汽车、微波炉、电梯、安全系统、自动售货机、医疗仪器、立体音响、自动取款机等。
      用较为专业的话来表述的话,嵌入式设备就是使用微处理器或微控制器芯片(MCU)加上外围电路再加上内部的程序部分来实现特定功能的嵌入设备。比如8位的单片机、32的ARM以及DSP芯片等都属于嵌入式核心芯片的范畴。8位MCU市场已逐步趋向稳定,32位MPU代表着嵌入式技术的发展方向,正在加速发展。在32位嵌入式微处理器市场上,基于ARM内核的微处理器在市场上处于绝对的领导地位,因此追踪ARM技术的发展趋势显得尤为重要。
      路由器的开发通常都是基于32位处理器的,就通常的中低端路由器而言,在开发的配置上有多种选择,比如有ARM9核心芯片+Wince操作系统、 ARM7核心芯片+uClinux操作系统、DSP芯片+Vxworks操作系统等等各种各样的选择。本文针对常用的SOHO路由器来介绍,选择ARM7 核心芯片+uClinux操作系统开发模式,以完整形象的实例为大家清晰讲解路由器的技术实现过程。
      我们为什么以SOHO路由器为介绍对象呢?什么是SOHO路由器?前很多家庭中有不止一台电脑,需要上网获取信息、收发邮件等。这些小型公司和家庭网络用户计算机的数目一般不多,网络结构不复杂。功能和带宽的要求不高。出于提高网络性能、共享有限IP地址或节省上网费用等原因,这些用户迫切需要具有较高性价比的小型路由器。我们把这种小型路由器称为SOHO路由器。目前市场上已经充斥了大量的这类低端路由器.由于ARM7系列芯片价格便宜,非常适合嵌入式系统使用。目前市场上的SOHO路由器大多采用ARM7系列处理器。不过由于技术的发展,ARM9系列的专用路由芯片的路由器也逐渐普及。
      路由器宏观介绍
      我们可以形象的把嵌入式设备的开发简单的理解成三层模式,最底层的是微控制器芯片加外围器件组成的硬件系统,比如我们介绍的开发小型SOHO路由器所使用的ARM7TDMI芯片等硬件环境,它是设备功能实现的硬件基础,要实现上层的应用肯定离不开最底层硬件的支持。中间层是操作系统,比如我们所选择的 uClinux操作系统,它是衔接硬件部分和应用程序的过渡层,它既可以完成对底层硬件的基本操作,又能为上层应用程序提供运行环境支持。最上层自然就是应用程序层了,它是实现针对性应用的程序代码部分,比如路由设置等功能程序部分。
      那对与SOHO路由器来说,它当然也脱离不了这样的技术框架,它的更为具体的实现过程简单的汇总的话,莫过于如下内容:
      首先先要知道SOHO实现的网络功能,典型路由器应该具备以下功能:
      支持PPPoE,固定IP上网;
      DHCP动态主机配置协议;
      网络地址转换(NAT)技术;
      根据TCP,UDP的端口号(port number),IP 的(协议号)protocol number,对IP地址进行简单过滤的防火墙;
      虚拟服务主机/端口映射(Port Forwarding)技术;
      支持一定数量的特殊应用程序;
      然后针对于上边的功能要求,相应地要通过硬件和软件的构造来实现:
      硬件方面:
      1、要明确家用小型路由器(一个WAN接口,四个LAN接口)的硬件原理。
      2、实现硬件电路板设计,完成电路布线设计,并对元件焊接,通过硬件板的调试。
      软件方面:
      1、在分析 uClinux内核源代码的基础上,对uClinux操作系统的内核裁剪。
      2、完成BoaWeb服务器的配置,并对CGI脚本进行设计,完成动态网页的功能。
      3、对PPPOE的拨号进行配置实现。
      4、针对Linux内核防火墙部分,运用IPtable工具进行防火墙规则操作。
      通过如上的基本构造,一个路由器就基本成型了。说起来简单,但其中包含了很多很多的技术细节,要有大量的实践经验才能真正实现。做为门外观奇的好学读者,现在肯定有些不耐烦了吧,想要了解更多的更详细的构造内容吧?那好,现在就可以开始我们真正的技术之旅了。
      路由器工作原理
      1、基本原理
      要实 现 网络中通信节点彼此之间的通信,首先必须给每个节点分配一个唯一的IP地址。路由器应该至少有两个网络端口,分别连接LAN或者WAN子网上,每个端口必须具有一个唯一的IP地址,并且要求与所连接IP子网的网络号相同。不同的端口有不同的网络号,对应不同的IP子网,这样各子网中的主机才能通过自己子网的 IP地址把要求发出去的IP数据报送到路由器上。
      当路由器收到一份IP数据报后,首先要对该报文进行判断,然后根据判断的结果做进一步的处理。如果数据报是有效或正确的,路由器就根据数据报的目的IP地址转发该报文:否则就把报文丢弃。如果这个数据报的目的IP地址与路由器直接相连的一个子网上,路由器会通过相应的接口把报文转发到目的子网上去;否则会把它转发到下一跳(Hop)路由器。为了完成上述的操作,每台路由器必须维护一个路由表。把对应不同目的地的最佳路径存放在路由表中,这就是路由策略 (Routing Policy)问题。路由表反映网络的拓扑结构,一般一条表项应该包含数据报的目的IP地址(通常是目的主机所在网络的地址)、下一跳路由器的地址和相应的网络接口等,在网络拓扑发生变化的时候,路由表也应该做相应的变动。所以路由器必须能够生成并更新路由表。
      选路机制实际上就是如何查找路由表,通过查询路由表来决定向哪个方向转发数据。一般来说,路由器首先搜索匹配的主机地址:如果没有,再搜索匹配的网络地址:最后搜索默认路由。一旦查到匹配的表项,路由器就会把数据从相应的接口发送出去。
      路由器具备了上述各要素后,就可以完成数据转发任务了。另外,路由器不仅负责对IP包的转发,还要负责与别的路由器进行联络,共同确定互联网的路由选择和路由表的更新维护。
      2、SOHO路由器原理
      当内部计算机要与外部Internet网络进行通信时,各内部间通过私有IP地址进行通信的计算机必须把私有IP地址转换成合法IP。这种网络地址转换技术称为NAT(Network Address Translation,网络地址转换)。在一个实际的私有网络中,NAT功能通常内建在路由器、防火墙或独立的NAT设备之上,网络中的主机将这些设备作为自己的默认网关。通过这样的配置,每一台内部主机发送往Internet的数据报就会送到具有NAT功能的设备中进行转换。NAT是SOHO路由器的必备功能,它是为解决IPv4地址不够分配的矛盾而产生的一个简单高效的解决方案。它能将任何两个地址域的地址进行转换,使私有网络中多台主机共享一个合法IP地址访问Internet。
      嵌入式路由器硬件系统介绍
      1、硬件系统总体结构
      硬件结构是非常重要的部分,因为我们拆开一个路由器后首先看到的、所能看到的也就是硬件结构,我们就举例简单介绍一下硬件设计的各个部位的细节内容。
      为了宏观查看,我们给出交换式宽带路由器的硬件设计实例图一张。图中主要分为两部分:
      ARM4510B部分和交换芯片RTL8305部分,前者主要见上半图,后者为下半图。还有电源及各自的复位电路。
      ARM4510B部分中,中央处理芯片为带有网络接口的S3C4510B--16/32位RISC微控制器,根据嵌入式操作系统的运行需要,扩展了SDRAM存储器和Flash存储器。SDRAM存储器由两片4X1MX16位的HY57V641620HGT
      组成,作为嵌入式操作系统内核及应该程序运行的内存空间。Flash存储器由一片1MX16位的SS139VF160组成,作为内核映像的存储,并在嵌入式操作系统启动时加载系统内核及程序。根据调试程序及烧写Flash存储器的需要,引出JTAG接口。根据显示调试和运行信息的需要,提供了RS232 接口。交换芯片 RTL8305部分中,提供4个LAN口(PORTO--PORT3)通过一四口的网络隔离变压器连接一个四口RJ45口,每个口可连接到 10/10013aseT以太网,各端口之间有交换功能:还有一个WAN接口(CPO RT4)通过一单口的隔离变压器连接RJ45口。根据显示连接速度、状态和电源等需要,接出LED灯进行显示。根据交换芯片的管理需要,提供一串行 EEPROM 24C01电路接口。根据交换芯片的主电源为2.5V.提供一个3.3V到2.5V的转换器。
      中央处理芯片通过MR(独立媒体接口)接口与交换芯片RTL8035SB的PORT4的Mil接口相联,将交换芯片的PORT4配置为物理层接收器。
      当各部分电路设计完成后,形成硬件连接图,进而焊接之后,就可以作为开发用的实验硬件板了。下面就简要介绍一下个硬件电路部分。
      2、硬件系统的简要设计介绍
      ⑴ARM处理器系统设计介绍
      ①S304510B概述
      Samsung公司的S34510B是基于以太网应用系统的高性价比的16/32位RISC微控制器,内含一个由ARM公司设计的16/32位的ARM7TDMI RISC处理器核。ARM7TDMI为低功耗,高性能的16/32位核。
      除了ARM7TDMI外,该芯片还有一些片内外围功能模块,主要为: 内部RAM (8Kbyte unified cache/SRAM),I2 C接口电路(I2C interface)、以太网控件器(Ethernetco ntroller),HDLC,GDMA、串口(UART),时钟(Timers)、可编程1/O口(Programmable I/O ports)及中断控件器(Interrupt controller)等。
      S3C4510B结构框图所示。在实际运行过程中最主要用到的部分为:以太网接口及串口部分,前者用于收发以太包,后者主要作为操作系统调试接口。
      ②ARM 处理器系统电源电路和复位电路
      主要是实现供电和复位功能,电路部分不做详细讲解,有深入研究需要的爱好者可以查看相关的电子相关参考资料进行深入学习。为使文章通俗易懂,以下各电路部分也是做一宏观介绍,细节部分包括电路布线等不再深入讲解。
      ③ARM处理器与Flash存储器接口电路
      读者只要知道这部分的电路连接是为实现能在Flash存储器编写程序即可。
      ④ARM处理器与SDRAM接口电路设计介绍
      与 Flash存储器相比,SDRAM不具有掉电保持数据的特性,但其存储速度大大高于Flash存储器,且具有读/写属性。因此SDRAM在系统中主要用于程序的运于空间、数据及堆栈。当系统启动时,CPU首先从复位地址0x0片读取启动代码,在完成系统的初始化后,程序代码调入SDRAM中运行,以提高系统的运行速度。
      SDRAM 具有单位空间存储量大和价格便宜的特点,广泛用于各种嵌入式系统中。SDRAM 的存储单元可以理解为一个电容,总是倾向于放电,为了避免数据丢失,必须定时刷新(充电)。因此,在系统中使用SDRAM,就要求微处理器有刷新的控制逻辑或者在系统中另外加刷新控制逻辑电路。S3C4510B在片内具有独立的SDRAM刷新控制逻辑,可以方便的与SDRAM接口。
      ⑤ARM处理器串行接口电路设计介绍
      几乎所有的微控件器、PC都提供串行接口,使用美国电子工业协会(EIA)推荐的RS-232-C接口标准,这是一个很常用的串行数据传输总线接口标准。早期被用于计算机和终端通过电话线和MODEM进行远距离的数据传输,随着微型计算机和微控制器的发展,不仅在远距离,近距离也采用了该通信方式。在近距离的通信中不采用电话线和MODEM,而是直接进行端到端的连接。
      RS-232-C标准采用的是9芯或是25芯的D型插头。
      ⑥ARM处理器JTAG接口电路设计介绍
      JTAG(JointTe stAc tionG roup,联合测试行动小组)是一种国际标准测试协议,主要用于芯片内部测试及系统进行仿真、调试。JTAG是一种嵌入式调试技术,它在芯片内部封装了 TAP(Test Access Port,测试访问接口),通过专用的JTAG测试工具对内部节点进行测试.标准的JTAG接口是四线:TMS、TCK、TDI、TDO,分别为测试模式选择、测试时钟、测试数据输入、测试数据输出。JTAG测试允许多个器件通过JTAG接口串联在一起,形成一个JTAG链,能实现以各个器件分别测试。 JTAG接口还常用于ISP(In System Programmable)功能,如对Flash器件进行编程。
      ⑵以太网交换电路设计介绍
      以太网交换电路主要是采用五口交换芯片RTL8305SB来实现。RTL8305SB是一个集成了片内存储器,五个MAC层接口,五个物理层(PHY) 接口的l0M/l00M自适应的五口交换芯片,该集成芯片具有低功耗,可灵活配置为五口小型办公及家用(SOHO)交换机,家用网关,xDSL路由器及其它智能应用。要实现必要的网络功能,这部分的电路是关键中的关键。
      操作系统介绍
      1、Linux
      Linux是一个诞生于网络,成长于网络且成熟于网络的奇特的操作系统。1991年,芬兰大学生Linus Torvalds萌发开发了一个自由的UNIX操作系统的想法,并将Linux通过Internet进行发布。从此一大批编程人员加入到开发过程中来,Linux逐渐成长起来。Linux一开始要求所有的源代码必须公开,后来转向GPL( GNUG eneral Public Licence),成为GUN的阵营的主要一员。只要遵守GPL的规定,就可以免费获得复制,因此Linux是一个免费软件。同样,Linux下遵循 GPL规定的C, C++, Java等一系列的工具开发包,从功能的角度上看并不亚于商用的开发包,但却可以极大的降低开发成本,这一优势是其它商用操作系统无法比拟的。
      Linux 操作系统最突出的是网络部分,基本上所有的网络协议和网络接口都可以在Linux上找到,Linux的内核比标准的UNIX处理网络协议更加高效,系统的网络吞吐性能更好,这也是Linux网络服务器市场上占据较大的市场分额的重要原因。对于一般的小型的SOHO路由器,Linux的网络技术无疑是其开发运行的最佳选择,Linux完全能对给其提供全方位的网络技术支持。Linux作为互联网的产物,许多关于Linux的文档可以在Internet上下载到。
      2、uClinux操作系统
      uclinux是嵌入式Linux的一个分支,在uClinux这个英文单词中u表示Micro,小的意思,C表示Control,控制的意思,所以 uclinux就是Micro-Control-Linux,字面上的理解就是“针对微控制领域而设计的Linux系统”。同标准的Linux相比,由于 uClinux自身不支持MMU,多任务的实现就需要技巧了。但是,在uClinux上运行的绝大多数的用户程序并不需要多任务。另外,针对 uclinux内核的二进制代码和源代码都是经过了重新编写,以紧缩和裁剪基本的代码。这就使得uClinux的内核同标准的Linux内核相比非常之小,但是它仍保持了Linux操作系统的主要的优点,如稳定性、强大的网络功能和出色的文件系统支持等。uclinux包含Linux常用的API、小于 512K的内核和相关的工具。操作系统所有的代码加起来小于900KB。
      uClinux简介
      uClinux的基本架构
      在PC机上开发应用程序的用户都会有这样的感觉,PC机有完善的操作系统并提供应用程序接口(API),开发好的应用程序可以直接在操作系统上运行。虽然嵌入式系统的应用程序完全可以在裸板上运行,但为了使系统具有任务管理、定时器管理、存储器管理、资源管理、事件管理、系统管理、消息管理、队列管理和中断处理的能力,提供多任务处理,更好的分配系统资源的功能,用户就需要针对自己的硬件平台和实际应用选择适当的嵌入式操作系统(Embedded Operating System,以下简称EOS)。由于本文实例中的硬件平台是以不含MMU (Memory Management Unit,内存管理单)的S3C4510B为核心的,因此采用不带MMU的ARM 微处理器的嵌入式操作系统uclinux。uclinux 是一个完全符合GNUIGPL公约的操作系统,完全开放代码,现在由Line。公司支持维护。uClinux从Linux 2.0(2.4内核派生而来,沿袭了主流Linux的绝大部分特性。它是专门针对没有MMU的CPU,并且为嵌入式系统做了许多小型化的工作.适用于没有虚拟内存或内存管理单元(MMU )的处理器,例如ARM7TDMI。它通常用于具有很少内存或Flash的嵌入式系统。uclinux是为了支持没有MMU的处理器而对标准Linux作出的修正。它保留了操作系统的所有特性,为硬件平台更好的运行各种程序提供了保证。在GNU通用公共许可证(GNU GPL)的保证下,运行uClinux操作系统的用户可以使用几乎所有的Linux API函数,不会因为没有MMU而受到影响。由于uClinux在标准的Linux基础上进行了适当的裁剪和优化,形成了一个高度优化的、代码紧凑的嵌入式Linux,虽然它的体积很小,uClinux仍然保留了Linux的大多数的优点:稳定、良好的裁剪性、优秀的网络功能、完备的对各种文件系统的支持、以及标准丰富的API等。
      BootLoader:负责uCLinux内核的启动,它用于初始化系统资源,包括SDRAM。这部分代码用于建立uCLinux内核运行环境和从Flash中装载初始化内核镜象。
      内核初始化:uCLinux内核的入口点是start kernel() 函数。它初始化内核的其他部分,包括捕获,IRQ通道,调度,设备驱动,标定延迟循环,最重要的是能够fork "init"进程,以启动整个多任务环境。
      系统调用函数/捕获函数:在执行完“init”程序后,内核对程序流不再有直接的控制权,此后,它的作用仅仅是处理异步事件(例如硬件中断)和为系统调用提供进程。
      设备驱动 :设备驱动占据了uCLinux内核很大部分。同其他操作系统一样,设备驱动为它们所控制的硬件设备和操作系统提供接口。
      文件系统 :uCLinux最重要的特性之一就是对多种文件系统的支持。这种特性使得uCLinux很容易地同其他操作系统共存。文件系统的概念使得用户能够查看存储设备上的文件和路径而无须考虑实际物理设备的文件系统类型。ucLinux透明的支持许多不同的文件系统,将各种安装的文件和文件系统以一个完整的虚拟文件系统的形式呈现给用户。uClinux带有一个完整的TCP/IP协议,同时它还支持许多其他网络协议。uclinux对于嵌入式系统来说是一个网络完备的操作系统。
      uClinux开发环境
      ⑴GNU开发套件
      GNU软件包括C编译器GCC,C ++编译器G++,汇编器AS,链接器LD,二进制转换工具(OBJCOPY,OBJDUMP),调试工具(GDB.GD BSERVER,KGDB)和基于不同硬件平台的开发库。在GNU GCC支持下用户可以使用流行的C/C++语言开发应用程序,满足生成高效率运行代码、易掌握的编程语言的用户需求,这些工具都是按GPL版权声明发布,任何人可以从网上获取全部的源代码,无需任何费用。关于GNU和公共许可证协议的详细资料,读者可以参看GNU网站的介绍,http://www,gnu.oTgfhDmc.html。GNU开发套件作为通用的Linux开放套件,包括一系列的开发调试工具。GNU开发工具都是采用命令行的方式,用户掌握起来相对比较困难,不如基于Windows系统的开发工具好用,但是GNU工具的复杂性是由于它更贴近编译器和操作系统的底层,并提供了更大的灵活性。一旦学习和掌握了相关工具后,就了解了系统设计的基础知识。运行于Linux操作系统下的自由软件GNU gcc编译器,不仅可以编译Llnux操作系统下运行的应用程序,还可以编译Linux内核本身,甚至可以作交叉编译,编译运行于其它CPU上的程序。所以,在进行嵌入式系统应用程序开发时,这些工具得到了日益广泛的应用。
      ⑵uCIinux的打印终端
      通常情况下,uClinux的默认终端是串口,内核在启动时所有的信息都打印到串口终端(使用printk函数打印),同时也可以通过串口终端与系统交互。uClinux在启动时启动了telnetd(远程登录服务),操作者可以远程登录上系统,从而控制系统的运行。至于是否允许远程登录可以通过烧写 romfs文件系统时由用户决定是否启动远程登录服务。
      ⑶交叉编译调试工具
      支持一种新的处理器,必须具备一些编译,汇编工具,使用这些工具可以形成可运行于这种处理器的二进制文件。对于内核使用的编译工具同应用程序使用的有所不同。
    路由器软件系统的设计过程
      uClinux 操作系统提供了嵌入式Web服务器、PPPOE拔号软件、基于IPTable过滤防火墙等功能模块的源代码。路由器软件系统的设计包括uClinux操作系统的裁剪、基于uClinux操作系统提供的以上功能模块源代码下的修改和设计,从而实现本路由器的嵌入式Web服务器、PPPOE拔号软件、基于 IPTable过滤防火墙。
      uClinux操作系统裁剪
      ⑴裁剪前准备
      uclinux的裁剪牵涉到对目标的硬件支持问题。要让uClinux支持一个新硬件体系,要做的第一件事情就是收集和构建代码的工具。然后就可以裁减和编译内核。一旦内核支持基本的处理器功能,它就可以运作了,但是如果缺乏驱动程序的支持,就起不了多大作用。典型的驱动程序集合中包括了诸如控制台终端、基本串行设备和一个可能包含了根文件系统的块设备的驱动等。
      在这里主要介绍针对我们刚才介绍的实例系统采用的uClinux裁剪方法。本实例中的宿主机上装redhat9操作系统,因为redhat9具备安装uClinux交叉编译工具时所需要的库。
      首先必须在redhat9下建立uclinux开发环境,建立uclinux开发环境的方法有很多,而且也十分方便。可以从 http://www.uClinux.org处下载最新的uClinux的源代码、最新的gcc3的工具链,不过针对于不同的工具链在不同的操作系统下,以及目标板的MCU的不一样,可能在编译内核时会产生错误,在这里,我讲解实例所使用的不是最新版本的。同样的,针对不同的硬件开发环境要对 uClinux源代码进行不同的适当修改,修改部分通常是以代码补丁形式实现的,一般网络上会有各种通用模式的补丁提供使用。好了,切入正题,有了齐全的软件包后,安装过程如下:
      (1) 下载内核和工具包
      内核包 : uClinux-disc-200408.tar.gz
      补丁文件:uClinux-disc-200408.patch
      uclinux的源代码和文件系统的源代码,软件包后的数字代表完成的日期。
      工具链 : arm-elf-gcc-200403.sh
      (2) 安装工具包
      sh arm -elf-gcc-200403.sh
      (3) 解压缩内核
      tar -xzvfuClinux-dist-200408.tar.gz,生成uClinux-disk目录。
      (4)安装补丁:
      将补丁文件复制到uClinux-disk目录下,进入该目录,在Shell命令中使用如下命令:
      patch -pl-f
      ⑵内核的编译和生成
      执行以下命令可以进行uClinux编译:
      make xconfig。具体的编译选项配置过程本文不做详细介绍。但在此给出编译的一些基本思想:
      ucLinux作为一个自由软件,在广大爱好者的支持下,内核版本不断更新。新的内核修订了旧内核的bug,并增加了许多新的特性。如果用户想要使用这些新特性,或想根据自己的系统度身定制一个更高效,更稳定的内核,就需要重新编译内核。
      为了正确的合理地设置内核编译配置选项,从而只编译系统需要的功能的代码,一般主要有下面四个考虑:
      自己定制编译的内核运行更快(具有更少的代码)。
      系统将拥有更多的内存(内核部分将不会被交换到虚拟内存中)。
      不需要的功能编译进入内核可能会增加被系统攻击者利用的漏洞。
      将某种功能编译为模块方式会比编译到内核内的方式速度要慢一些。
      在此需要补充说明的是内核编译的目的是为了创建一个能够放置在flash上支持flash读取的完成要求功能的内核,同时也是flash读取步骤其中一步。对uCLinux的内核进行配置和创建要对uCLinux内核的版本进行选择:uCLinux内核的版本号有三种:主号、次号、修订号。以 2.4.10为例一般来说,主号如目前的2是很稳定的。主号的变动说明了操作系统发生了很大的变动。次号如目前的.4,用来说明内核的稳定性。当次号为偶数号((0,2, 4, 6) 时,表明现在的内核的稳定性强,而当次号为奇数号(1,3, 5) 时,表明现在的内核处于测试的阶段,其稳定性值得考虑,如果你使用次号为奇数号的内核进行配置和创建时、就值得三思而行了。而修订号的发表比较的频繁,它主要是用来对前面的版本进行修补。开发新的版本和修改以前的版本是同时进行的,很有可能修改的修订版本在新的版本出来之后。
      依次执行以下命令完成uClinux的编译过程:
      cd/usr/local/src/uclinux=dist
      make dep
      make clean
      make lib_on ly
      make user_on ly
      make romfs
      make image
      最终在image目录下生成2个文件:
      zImage——uClinux内核2.4.x的压缩方式可执行映象文件;
      romfs——文件系统的映象文件。
      这就是我们要用来烧录到硬件板内的最终文件了。具体烧写可以通过使用专用的烧写工具来实现,烧写过程一定要参照烧写工具的说明要求来进行。
      其中zImage已经包含了文件系统映象文件,通常直接烧写到Flash文件上即可执行了。当然在这之前要进行BootLoader的烧录, BootLoader其实就是一个引导程序,主要作用就是初始化系统,进而来引导操作系统。在嵌入式系统中,处理器上电后首先执行的一段代码就是 BootLoader,BootLoader与硬件密切相关,其代码主要用C和汇编语言写成,不同的系统中,BootLoader的功能有所不同,但主要作用还是差不多的,主要有下面几点:
      初始化微控制器MCU运行的时钟频率;
      初始化Flash和内存的数据宽度,读/写访问周期和刷新周期;
      初始化中断系统;
      初始化系统中各种片内、片外设备和I/O端口设备;
      初始化系统各种运行模式下的寄存器和堆栈;
      加载和引导操作系统;
      BLOb是BootLoaderObject的缩写,它是一个功能强大、源代码公开的自由软件,它已经实现了对多种处理器芯片的Linux 引导支持。对ARM7等核心的BootLoader支持版本可以到专业网站上进行下载,并稍微做适当修改来满足开发应用中的硬件环境要求即可,在此我们不做过多讲述。
      上面所讲述的内核编译过程只是比较宽泛的、笼统的操作过程,也就是说只是基本的操作过程,而在真正的路由功能实现过程中,还要对内核进行多种设置编译,比如说对硬件系统中设计到的部件进行驱动配置安装等,当然,这些并不是特别难的操作技术,再比如我们下面就要讲到的内容,这可就是很有挑战性的核心技术了,这些都是针对内核进行技术性操作来实现特定的网络功能。
      内核编译核心部分
      1、文件系统分析
      文件系统是uClinux操作系统的重要组成部分,uClinux文件系统是操作运行的基础。许多嵌入式系统在不存在磁盘的情况下也可以运行。文件系统可以随同内核一起被打包并在启动时作为一个文件系统的映像被加载。对一个简单的应用系统来说,这己足够了。文件系统可以存放在一个传统磁盘中,但也可以存放在非易失性的存储介质— 闪存中。闪存有一个引导块,它存放了CPU上电后运行的第一个软件,这个软件可以是uclinux的引导程序,也可以是自己编的bootloader。 uClinux的内核可以被引导程序从闪存中拷贝到RAM中全速运行。闪存也可以作为文件的存储介质,必要时写入一些需要保存的数据。
      uClinux支持NFS(Network File System),它允许通过网络加载各种应用程序。由于用在每一个嵌入式系统上的软件可以从一个公用的服务器上加载,这在控制软件的修订或升级中是很重要的.在系统运行的过程中,导入和导出数据、配置、状态信息的备份也很重要。对用户监控而言,这是一个非常强大的功能。例如,一个嵌入式系统可能装配了一个 RAM DISK,它包含着与系统当前状态的更新维持一致的(状态)文件。那么别的嵌入式系统仅需通过网络把这个RAM DISK作为远程磁盘mount过来便可以访问那些位于远端RAM DISK中的状态文件。这也允许在另一台机器上的WEB服务器借助简单的CGI脚本来访问那些状态信息。运行在其他机器上的应用程序包能够很容易地访问这些数据。uClinux操作系统根据不同的安装选择可以生成不同的文件系统。系统中提供了十分丰富的文件系统以供不同需要的用户选择。每种类型的文件系统的基本块大小、优化分配策略、一次传送的数据长度等等都是相互匹配的,使得本类文件系统均有相应的最佳性能。
      2、嵌入式Web服务器
      对uClinux操作系统下嵌入式Web技术的实现主要用于用户可以通过网
      页方式来管理路由器。
      ⑴uClinux下Web Server的实现
      uClinux下,主要有三个WebServer:htpd,thttpd和Boa。Httpd是最简单的一个Web Server,它的功能最弱,不支持认证,不支持CGI。Thttpd和Boa都支持认证、CGI等,功能都比较全。为了实现动态Web技术,这里我们选择实现一个支持CGI的、非常适合于嵌入式系统的Boa Web Server。Boa是一个单任务的http服务器,源代码开放、性能高。目前,uClinux的代码中已经包含boa的源代码,在uClinux下实现 Boa,需要对Boa做一些配置和修改。这主要通过对boa.conf和mime.types文件进行修改来实现,需要改动的配置有以下几项:
      ①建目录
      由于uClinux默认的根文件系统romfs是只读的,不能用mkdir等命令来新建目录,故应在编译内核前先建好要用到的目录,这通过修改
      /uclinux-samsung/vendors/Samsung/4510b/makefile文件来实现。在ROWFS_DIRS=bin dev etc home lib mnt proc usr var的后边增加home/webhome/web/cgi-bin,这样修改后编译内核,编译好的根文件系统romfs中就包含这些目录了。
      ②指定Web 服务器的根目录路径(SERVER ROOT)
      进入 /uclinux-samsung/user/boa/src/目录,通过修改define.h文件中#define ERVER ROOT "/home”语句来指定SERVER ROOT。另外,还可以通过命令行来指定,例如:boa-c/home/&。而且命令行指定的SERVER ROOT可以覆盖define.h文件所指定的。
      ③修改boa.conf文件
      在. /uclinux-samsung/user/boa/src/boa.conf里修改:
      *将 user obody和Group ogroup改为User0 和Group0 ;
      *将 DocumentRoot/var/www改为DocumentRoot/home/web,这样web服务器的文档根目录为/home/web;
      *将 MimeTypes/eWmime.types改为MimeTypes/home/web/mime.types;
      定义默认首页和CGI程序所在目录,即
      DirectoyIndex index.html
      ScriptAlias/cgi-bin//home/web/cgi-bin/
      这样指定后,.index.htm为远程浏览客户访问WebServer所看到的首页默认值,用C编写的CGI程序编译成二进制文件,放到/cgi-bin/目录下,CGI程序能被正确地执行。
      Boa.conf文件和mime.types文件必须放到Web服务器根目录下,所以把修改后的bao.conf和mime.types拷贝到 “./uclinux-samsung/romfs/home/”目录下。然后在/uclinux- samsung/Vendors/Samsung/4510b/initab里修改,在:inet:unknown:/bin/inetd后加入: boa:unknown:/bin/boac/homeo
      配置过程后,重新编译内核,编译时选中Boa选项。把编译好的内核下载到硬件板,启动uclinux,完成IP配置,启动Boa Web Server,然后就可以通过lE访问你的网页了。如果想启动uclinux时自动启动Boa Web Server,可以修改re文件,进入uclinux-samsung/vendors/Samsung/4510B目录,在运行脚本rc中增加两行:
      ifconfig eth0 192.168.0.101 up
      boa-c/home/&
      修改后重新编译内核,再下载到硬件板运行.运行uclinux后,不需要配置就可以直接通过IE来访问http://192.168.0.101,看到你的网页了。
      ⑵uclinux下实现动态Web页面的CGI技术
      到目前为止,实现动态Web页面有4种技术可供选择:CGI(Common Gateway Interface), ASP(ActiveXServerPage),PHP(PersonalHomePage)和JSP(JavaServerPage).在 uclinux下如果要实现动态网页,只能采用CGI,因此目前uclinux还不支持ASP, PHP等动态Web页面技术。CGI(通用网关接口)提供Web服务器一个执行外部程序的通道,这种服务端技术使得浏览器和服务器之间具有交互性。CGI 程序属于一个外部程序,需要编译成可执行文件,以便在服务端运行。浏览器将用户输入的数据送到Web服务器,Web服务器将数据使用STDIN送给CGI 程序,在执行CGI程序后,可能会访问存储数据的一些文档,最后使用STDOUT输出HTML形式的结构文件,经Web服务器送回浏览器显示给用户。 CGI程序可以用任何程序设计语言编写,如Shell脚本语言、Perl,Fortran, Pascal, C语言等。但目前uclinux不支持Pert, Fortran等语言,而且C语言在平台无关性上表示不错,所以我们选择用C来编写CGI程序。另外,uClinux也不支持数据库,所以需要保存的数据只能保存到文件中,CGI查询数据时也是查询这些文件,而不是访问数据库。
      ⑶uClinux下动态Web页面的实现
      下面通过一个例子来说明如何实现uClinux下的动态Web页面技术。此例子的目的是使用户能够通过Web页面内嵌表单提交数据,并能把用户提交的数据通过Web浏览器正确地返回给用户。实现动态Web页面的第一步是用HTML语言编写Web页及内建表单。编写Web页面时,要由ACT ION属性来指定相关的CGI程序,如ACT ION=cgi-bin/demo;由MOTHOD属性来指明所用的提交数据的方法,即MOTHOD=POST(GET)。
      实现动态 Web页面的第二步是用C编写CGI程序,CGI程序分为以下几部分:①根据POST方法或GET方法从提交的表单中接收数据;②URL编码的解码;③用 printf() 函数来产生HTML源代码,并将经过解码后的数据正确地返回给浏览器。包括demo.c, cgivars.h和cgivars.c三个文件。将编写好的CGI程序编译成二进制文件放在cgi-bin/目录下,CGI程序能被正确地执行,最终 CGI程序就可以对上述表单数据的进行处理了。
      下面对程序稍加说明。若以GET方法提交数据,表单中的数据被保存在QUERY_STRING环境变量中,通过调用函数 getenv("QUERY_STRING")来读取数据;若以POST方法提交数据,则程序先从CONTENT LENGTH环境量得到数据的字长,然后从标准输入中读取相应长度的字符串即可得到提交的数据。数组postinput[i] 中保存的就是从表单中提取的数据。
      URL编码的解码过程较为复杂,URL编码的规则下:①变量之间用“&”分开;② 变量与其对应值之间用“=”连接;③空格符用“+”代替;④特殊意义的字符用%接相应的十六进制ASCI码代替。解码即为编码的逆过程。在程序中,对于从表单中提取过来的postinput[i]中的数据,当发现字符为“+”时,将它转换成空格;当发现字符为“&”时,意味着个名字2值对的结束,在此处将字符中切成几个字符串;当再现字符为“=”时,意味着一个名字/值对的名字部分的结束,在此再将名字/值对分开。最后通过调用 unescape_url(char *url)子函数将十六进制ASCII码值表示的特殊字符转换成相应的ASCII字符。
      3、PPPOE拨号实现
      PPPOE主要针对ADSL宽带接入方式,实现用户的的认证上网方式就是采用这种方式接入。
      ⑴PPPOE简介
      1998年后期问世的以太网上点对点协议(PPP over Ethernet)技术是由Redback网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。通过把最经济的局域网技术以太网和点对点协议的可扩展性及管理控制功能结合在一起,网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式,提供支持多用户的宽带接入服务时更加简便易行.同时该技术亦简化了最终用户在动态地选择这些服务时的操作.
      ⑵PPPOE实现
      实现步骤 :
      pppoe的实现有两种方式,一种是作为一个用户态的应用程序运行,就是rp-pppoe这个程序;另一种是选择在kernel ppp里支持pppoe功能,这同时也需要pppd支持pppoe。
      具体的细节实现步骤本文不做详述,有兴趣的读者可以查阅相关的Linux资料进行更深一步的学习研究。
      基于IPTable过滤式防火墙
      网络防火墙用来保护一个网络不受来自另一个网络的攻击,是网络安全环节中进行的一个防御步骤。在路由器中配置IPTable过滤式防火墙,可以对IP数据封包进行规则检查和过滤,保证内网安全。
      ⑴防火墙概述
      防火墙是一套能够在两个或两个以上的网络之间,明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络,可以透过封包转送技术来相互通讯,透过防火墙的安全管理机制,可以决定哪些数据可以流通,哪些资料无法流通,藉此达到网络安全保护的目的。
      防火墙产品可以概略归类为硬件式防火墙和软件式防火墙,但实际上无论是硬件式或软件式防火墙,它们都需要使用硬件来作为联机介接,也需要使用软件来设定安全政策,严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分,硬件式防火墙是使用专有的硬件,而软件式防火墙则使用一般的计算机硬件,硬件式防火墙使用专有的操作系统,而软件式防火墙则使用一般的操作系统。
      防火墙依照其运作方式来分类,可以区分为封包过滤式防火墙(Packet Filter)、应用层网关式防火墙(Application-Level Gateway,也有人把它称为Proxy防火墙)、电路层网关式防火墙(Circuit-Level Gateway).其中被广为采用的是封包过滤式防火墙,本文要介绍的iptables防火墙就是属于这一种。
      封包过滤是最早被实作出来的防火墙技术,它是在TCP/IP四层架构下的IP层中运作.封包过滤器的功能主要是检查通过的每一个IP数据封包,如果其标头中所含的数据内容符合过滤条件的设定就进行进一步的处理,主要的处理方式包含:放行(accept)、丢弃(drop)或拒绝(reject)。要进行封包过滤,防火墙必须要能分析通过封包的来源IP与目的地IP,,还必须能检查封包类型、来源端口号与目的端口号、封包流向、封包进入防火墙的网卡接口、 TCP的联机状态等数据。
      ⑵IPtable的原理及实现
      IPTables是Linux操作系统中的一个管理内核包过滤的工具,它可以添加、插入或删除核心包过滤表(1)中的规则,以实现防火墙功能。
      一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(M入,添加,删除,修改)、对特定规则的目标动作、匹配数据报条件。
      基本的语法为:
      iptables -t table -Operation chain -target match(es)
      例如,希望添加一个规则,允许所有从任何地方到本地smtp端口的连接:
      iptables -t filter -A INPUT -ACCEPT -p tcp --dport smtp
      当然 ,还有其他的对规则进行操作的命令如:清空链表,设置链缺省策略,添加一个用户自定义的链...
      经过一系列深入的配置后,基本的路由功能器就这样诞生了,当然实际中路由器还有相当多的应用功能,这些都是通过软件开发来逐步深层次实现的,如果你想成为一个嵌入式工程师的话,那这篇文章就算是一个引路人吧,要达到更高的境界,还需要自己刻苦学习研究,一步一步在魔幻般的技术殿堂中自由遨游。
    展开全文
  • Linux路由器配置界面的设计与实现.pdf
  • Linux路由器在企业网中的应用.pdf
  • Linux路由器流量统计系统

    千次阅读 2013-08-23 15:18:05
    统计分析师:Linux路由器流量统计系统   发布时间:2007.06.27 11:59 来源:赛迪网 作者:skid  本文首先概述三种常用的Linux路由器计费方式,然后详细...

    统计分析师:Linux路由器流量统计系统

     
    发布时间:2007.06.27 11:59     来源:赛迪网    作者:skid

      本文首先概述三种常用的Linux路由器计费方式,然后详细介绍Linux系统的Netfilter包过滤技术,并在此基础上探讨以Netfilter为核心开发的高效、低负载、可扩展的流量统计系统。 

      Linux路由器的计费方式 

      由于Linux系统的稳定性、可用性越来越高,基于Linux系统的路由应用也越来越广泛。无论是对于纯IP转发应用,还是基于NAT技术及透明代理技术的Linux路由器系统,如何高效、准确地进行计费都是一个值得研究的课题。 

      在Linux的世界里,解决问题的办法往往不止一种。目前常用的Linux路由器计费方式有以下三种: 

      1.基于数据链路层的、网络监听模式的计费。 

      使用专门的网络监听主机,此时主机处于混杂模式(Promiscuous),对流经的数据包进行监听和计费,监听的主机必须与路由器处在同一个广播段。由于监听高速以太网会产生严重的丢包问题,故此方法应用并不广泛。 

      2. 基于SNMP技术的计费。 

      通过在Linux路由器上配置SNMP代理进行流量统计。此方法应用较为广泛,但SNMP代理的安装会增加路由器的负载,并带来相关的安全性问题。 

      3. 使用第三方软件,如xtacacsd等。 

      基于Linux内核的Netfilter技术 

      Netfilter是Linux下的包过滤软件系统,目的是实现完整的包过滤、防火墙和网络地址翻译(NAT)等功能。其原理基于检查数据包的头部,并根据规则进行处理,实现数据包的控制、安全、伪装、分割管理。具体实现是通过加载内核模块iptables_filter.o和命令iptables来操作。 

      Netfilter内建三个表,其功能如表1所示。 

    统计分析师:Linux路由器流量统计系统 

    表1 Netfilter的组成 

      默认情况下,数据包从某网络进入Linux路由器所经过的Netfilter过程如图1所示。 

    统计分析师:Linux路由器流量统计系统 

    图1 Netfilter的数据包路由 



      1.当一个数据包进入(如网络1),内核首先检查包的目的地(路由决策)。 

      2.如果它是进入本机的,包会向图的下方移动,到达INPUT链。在这里,任何等待该包的进程都会收到它。

      3.否则,如果内核未被允许转发,或者不知道如何转发该包,它就会被丢弃。如果允许转发,而且包的目的地是另一个网络接口(如网络2),那么包继续向图的下边行进,到达FORWARD链。如果策略允许通过(ACCEPT),它将被送出。 

      4.服务器上的进程也可以发送网络包,这些包直接通过OUTPUT链发送,如果被允许(ACCEPT),那么该包继续向可到达其目的地的网络接口发送。 

      “nat表”管理网络地址翻译,其中PREROUTING链可定义进行目的地址NAT的规则。因为路由器进行路由时只检查数据包的目的IP地址,所以为了使数据包能正确路由,必须在路由之前就进行目的NAT。POSTROUTING链用来定义进行源地址NAT的规则,系统在决定数据包的路由以后才执行该链中的规则。OUTPUT链定义对本地产生的数据包的目的地址NAT规则。 

      除了内建链,Netfilter还支持用户自建链,支持更复杂、功能更强的应用。 
      计费规则 

      根据Netfilter可扩展表链的特性,可以通过自定义链来实现对数据包的流量计费。从网络管理的角度考虑,需要关注的流量一般是总流入流出及一些基本的网络应用流量,如FTP、WWW、SMTP、POP等,更多的监控可以根据需要添加。 

      iptables的流量计费功能在同一链内只能实现一次,因此自定义表必须精心设计,保证目标数据包经过计费链。首先建立用户自定义表ACC-IN、ACC-OUT、ACC-OUT-SMTP、ACC-IN-POP3、ACC-IN-WWW、ACC-IN-FTP。 

      对于Linux路由器,往往需要实现IP伪装与透明代理,其计费链与传统的包转发路由器有所不同。对于IP伪装(网络地址翻译),第一个分组IP包经过PREROUTING(nat)链,此后所有的IP包均经过FORWARD(filter)链,因此实际上对NAT的计费是在FORWARD链上完成的。对于透明代理,其实质是将用户HTTP的80端口请求转发到代理服务进程,如果代理服务进程在本地,则相应的流量发生在本地的OUTPUT链。 

      流入量统计的iptables表与用户自定义表的顺序关系如图2。 

    统计分析师:Linux路由器流量统计系统 

    图2 计费表的顺序关系 

      如图2所示,每一个流入的IP包都会遍历所有的计费链,流出图与之类似。如果IP包符合计费规则,则iptables记数,相应的规则如表2示。 

    统计分析师:Linux路由器流量统计系统 
    表2 计费类型说明 

      ◆ 对于总流入,由于是在本地网络流入计费,所以本地的TCP流量可以忽略,相应的规则如下(eth0为内网网卡,内网为10.0.0.0/24): 

    #iptables -A FORWARD -o eth0 -s ! 10.0.0.0/24 -s *.*.*.* -j ACC-IN


      ◆ FTP流量包括20、21端口,由于21端口只负责FTP控制信令传送,故只需对负责数据传送的20端口计费即可: 

    #iptables -A ACC-IN -o eth0 -p tcp --source-port 20 -d *.*.*.* -j ACC-IN-FTP


      ◆ WWW流量如果不设置透明代理,则计费发生在FORWARD链: 

    iptables -A ACC-IN -o eth0 -p tcp --source-port 80 -d *.*.*.* -j ACC-IN-WWW


      ◆ 对于使用透明代理的流量,计费发生在OUTPUT链(其中10.x.x.x为内网IP,X为代理进程的端口号): 

    iptables -A OUTPUT -o eth0 -p tcp -s 10.x.x.x --source-port x -d *.*.*.* -j ACC-IN-WWW


      其它协议的计费方式类似。对于任意的TCP及UDP协议,只要知道服务端口号,都可以进行计费。 

      实际的计费规则采用PERL自动生成。首先生成需要计费的IP地址列表文件,然后通过PERL程序读取该文件并自动生成计费规则。程序示例如下:

     

     

    sub set_iptables_rules{ my(@mylist)=@_; open (FILE,$mylist[0]); #读取配置文件 @lines=<FILE>; close FILE; foreach $address(@lines) { chomp($address); #处理配置文件 @address_var=split(/ +/,$address); #根据配置文件生成计费规则 `$iptables $mylist[2] FORWARD -i $local_nic -s $address_var[0] -d ! $local_net -j ACC-OUT`; `$iptables $mylist[2] ACC-OUT -i $local_nic -p tcp -s $address_var[0] --dport 25 -j ACC-OUT-SMTP`; ...... } }

     



      Linux路由器的防火墙规则也基于iptables进行设置,主要是针对INPUT链和FORWARD链。计费规则也使用了iptables的系统默认链FORWARD和OUTPUT,与防火墙设置的FORWARD链上出现重叠。因此要保证在FORWARD链上的计费规则必须先于防火墙规则,才能使计费规则与防火墙规则同时发生作用。 

      系统结构 

      整个流量计费系统的结构如图3示,数据包流经Linux路由器并被计费;统计数据送入数据库;用户通过前端界面查询流量,同时可对计费规则进行监控和管理。 

    统计分析师:Linux路由器流量统计系统 

    图3 系统结构示意图 



      系统的后台程序 

      Iptables的计数功能仅仅提供了简单的流量显示,使用参数iptables -nvxL可得到更多的流量详细数据。例如:

     

     

    Chain FORWARD (policy ACCEPT 28951 packets, 18212425 bytes) pkts bytes target prot opt in out source destination 116 8465 ACC-OUT all -- eth0 * 10.2.229.2 !10.0.0.0/8 134 59582 ACC-IN all -- * eth0 !10.0.0.0/8 10.2.229.2

     



      一个切实可用的计费系统需要数据库的支持,并提供友好的查询界面,必须在后台对iptables提供的数据进行处理,并且输入至数据库。使用PERL语言的正则表达式,可以对iptables输出的数据进行处理,以选取需要的数据段。对于每一行数据都要提取流量及IP地址,所以要对目的数据段用正则表达式进行处理:

     

     

    for ($i=0;$i<=$count;$i++) {$lines_in[$i]=~/^\s+\d+\s+(\d+)\s+(\D+\d)\s+(\W\d+\.\d+\.\d+\.\d+\/\d+)(\d+\.\d+\.\d+\.\d+).*$/; $ac_ip=$4; $ac_in=$1; #读取IP地址与总流量 ...... #将流量记录输入至数据库 $sth = $dbh->do ("INSERT INTO $mysql_table_name(date,ip,acc_in,acc_out,acc_in_ftp,acc_in_pop3,acc_in_www,acc_out _smtp) VALUES ('$date','$ac_ip','$ac_in','$ac_out',' $ac_in_ftp','$ac_in_pop3','$ac_in_www','$ac_out_smtp')"); }

     



      计费周期可根据需要选择,但必须兼顾存储量与效率。这里计费周期选取为24小时,即设定系统的crontab,定时每天执行后台程序将流量输入数据库。计费完成后将流量记数器清零: 

    #iptables -Z FORWARD


      计费后台程序由于采用PERL语言编写,程序紧凑高效,与SNMP计费方式相比,实现方法简单,可定制性强,而且每天执行一次,对Linux路由器没有增加额外的负载。 

      数据库与前端实现 

      由于Linux路由器承担大量用户的IP包转发任务,负载较重,为了避免对其性能的影响,后台数据库不设置在本地,而采用多台路由器使用同一后台MySQL数据库来进行管理。 

      前台查询界面则可采用PHP语言编写,提供给用户日流量、月流量、年流量的查询,同时可对计费策略进行监控和管理,如图4示。 

    统计分析师:Linux路由器流量统计系统 

    图4 用户查询界面 

      本计费系统由于基于Netfilter技术,实现简单、高效,对系统的性能影响不大,同时保持了良好的可扩充能力,在实际的应用过程中能够根据用户的需要增加计费类型,是一个高效、低负载、可扩展的Linux路由器流量统计系统。

    (责任编辑:凌云通)

    展开全文
  • 嵌入式Linux路由器中同步PPP的实现方案.pdf
  • 隧道模式下Linux路由器内存优化的研究.pdf
  • 一种廉价方便的LINUX路由器解决方案.pdf
  • 一种在Linux路由器中解决接收活锁问题的方案.pdf
  • 三步搭建ubuntu下Linux路由器

    千次阅读 2018-12-24 11:08:23
    三步搭建ubuntu下Linux路由器 环境:eno1 —ip 10.0.0.1 enp1s0—192.168.1.2 ,目标是 192网段可以通过10网段转发。 第一步:打开ip转发功能,开启路由功能。 编辑/etc/network/interfaces文件,将...

    三步搭建ubuntu下Linux路由器

    环境:eno1 —ip 10.0.0.1 enp1s0—192.168.1.2 ,目标是 192网段可以通过10网段转发。

    第一步:打开ip转发功能,开启路由功能。
    编辑/etc/network/interfaces文件,将net.ipv4.ip_forward=1前面的#注释去掉,并确保值为1。确认结果可以查看cat /proc/sys/net/ipv4/ip_forward,返回值为1即可。

    以下步骤 切记使用 sudo,否则提升没有权限或者没有安装iptables。同时,前提是电脑已经安装iptables,一般ubuntu 都自带该软件。

    第二步:设置NAT功能。
    Sudo iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE (自动获取eno1地址),此方法适用eno1地址不固定,但每次包转换都要有获取动作,影响效率。若果地址固定,则直接使用SNAT,效率较高。
    sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eno1 -j SNAT –to-source 10.0.0.1
    切记加上-o 字段,否则部分机器无法确定转发网卡,导致ip不通,我的就是这样,最后加上-o,完美解决。

    第三步:设置转发规则
    sudo iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    sudo iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT


    通过以上3步骤已经实现了路由转发功能,也就是实现了192.168.1.0下的所有电脑ping 通10.0.0.0的网段,NAT成10.0.0.1,实现10网段的权限。当然路由器的路由功能是通过route表实现的,这里不再叙述,具体可百度 route。

    最后,需要保存iptables,即保存第2、3步命令,并实现关机后自动加载,否则每次关机后规则消失,需重设。自动加载完美解决。
    切记:以下命令需要切换使用root用户登录,即su 至root用户后执行,少走弯路。
    1、 保存规则到制定文件
    Iptables-save > /etc/iptables.rules
    2、 自动加载
    在/etc/network/interfaces文件末尾添加:
    pre-up iptables-restore < /etc/iptables.rules

    以上实践花费个人2个小时,加上ip route rules table等基础理论学习,断断续续半个月。

    参考来源:
    https://blog.csdn.net/u012174021/article/details/45369457
    https://blog.csdn.net/Yan_Chou/article/details/70305735

    展开全文
  • 介绍嵌入式linux路由的做法,以及原理。 分层介绍路由的思想。使大家对路由器有一个直观的认识。
  • Linux路由器配置实例

    千次阅读 2005-01-18 09:31:00
    Linux路由器配置实例发布日期:2002-06-06文摘内容: 著者:冷风http://www.chinalinuxpub.com任务:使用 Linux服务器配置路由器。目标:实现单位两个网段:192.168.1.0/24和192.168.2.0/24两个网段互相访问。步骤:...
    Linux路由器配置实例

    发布日期:2002-06-06
    文摘内容:
    著者:冷风
    http://www.chinalinuxpub.com

    任务:使用 Linux服务器配置路由器。

    目标:实现单位两个网段:192.168.1.0/24和192.168.2.0/24两个网段互相访问。

    步骤:

    1.安装一台双网卡的机器

    2.将eth0的地址设置为192.160.1.254,eth1的地址设置为192.168.2.254:

    # ifconfig eth0 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0

    # ifconfig eth1 192.168.2.254 broadcast 192.168.2.255 netmask 255.255.255.0

    3.添加路由信息:

    #route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0

    # route add -net 192.168.2.0 netmask 255.255.255.0 dev eth1

    4.将192.168.1.0/24网段内所有主机默认网关设置为192.168.1.254,将192.168.2.0/24网段内所有主机的默认网关设置为192.168.2.254

    5.测试
    展开全文
  • Linux路由器的配置

    千次阅读 2007-08-03 17:14:00
    本文主要介绍如何用Linux做一个功能完备的路由器,这里将主要介绍静态路由器和动态路由器的配置,但不包括IP伪装或者说公用一个IP地址访问外面网络等问题。其已经不属于本主题讨论的范围,请参考其他如防火墙的配置...
  • Linux路由器配置记要

    千次阅读 2004-07-06 10:51:00
    Linux路由器配置记要: a、设置好两块网卡的ip地址 b、# iptables -t nat -A POSTROUTING -j MASQUERADE c、# echo 1 > /proc/sys/net/ipv4/ip_forward d、子网里面的机器默认网关设成linux路由器的ip地址 e、...
  • 浙工大 drcom客户端 嵌入 Linux路由器

    千次阅读 2016-12-30 22:54:21
    如果你的路由器比较高级,内存比较高,那么可以自行刷入openwrt等开源系统,SSH登录后台,然后安装Python软件,再设置drcom开机自启动,关于drcom的配置信息,可以查看GitHub上的说明,很详细了,这里我要介绍的是...
  • LINUX路由器配置秘笈——计算机网络经典译丛
  • 本文首先概述三种常用的Linux路由器计费方式,然后详细介绍Linux系统的Netfilter包过滤技术,并在此基础上探讨以Netfilter为核心开发的高效、低负载、可扩展的流量统计系统。   Linux路由器的计费方式   ...
  • linux下获取路由器IP地址

    千次阅读 2017-10-11 17:21:48
    但是需要获取路由器地址,也就是笔记本的ip,才能进行通信。 通过百度搜索,得知gateway就是路由器地址。通过route指令可以得到 现在,我们需要从这些信息中得到 ip地址的信息,通过grep,搜索到第二行 ...
  • 基于嵌入式μCLinux路由器的防火墙设计——科学技术学院网络教学接入设备的设计与实现.pdf
  • NiceShaper是为Linux路由器环境开发的程序。 它在标准Linux QOS实现和iptables之上的用户空间中工作。 默认情况下,成熟的HTB算法用于根,内部和叶类,SFQ数据包调度算法是每个叶类中包含的默认排队规则(qdisc),U...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 89,900
精华内容 35,960
关键字:

linux路由器地址

linux 订阅