求教: 如何完成一个智能网桥

cnsinda008

最近公司业务需求，需要做一个智能网桥，主要完成的功能就是流量的分析以及一些转发数据包的控制，包括转发数据包的拦截和修改。
公司从来没有做过类似的产品，我也没有做过，但是通过百度大概知道可以使用netfilter接口或者自己重写bridge。
但是具体的框架心里不是很清楚， 数据的收发控制是全部在内核模块中完成呢？ 还是只是由内核模块进行数据拦截其他全交给应用层呢？

有没有相关行业的大牛给讲讲，行业内一般是怎么做的，给指条明路

当然如果您想来体验体验苏州生活的话，非常欢迎您加入本公司。
所以这也算一个招聘帖。

shang2010

苏州不错，喜欢，过去没有对口的专业安身

qianguozheng

网桥的话应该是在二层了，当然你想继续过滤数据，可以解头干一些有趣的事情，就可以转到三层，这个时候才能用到netfilter.
然而netfilter处理的数据越多就是越慢的， 有个nfqueue的东西可以把内核曾的数据通过netlink发送到应用层，然后你可以在应用层干一些龌龊的事情。

还有别的思路就是主要用来作分析的，比如旁路，类似于tcpdump干的事情，把所有数据包搞到一边作分析，实时的数据流不影响。

苏州我毕业就呆了3年，挺有感触的，希望老了还可以回去看看，哈哈

mordorwww

我做过，框架没问题
首先你得搞定DPI算法吧

wait_rabbit

数据转发这种东西，可以直接把内核扔一边去。在用户态从网卡拿原始数据。

google dpdk

cnsinda008

回复 5# wait_rabbit

DPDK 貌似是个好东西，不知道用起来麻不麻烦

cnsinda008

回复 4# mordorwww

dpi 模块的话是个体力活，急不来。框架的话我现在的做法是 找来了birdge的内核代码自己编译一个网桥模块，并添加我自己的代码， 这样我就可以获取到所有的转发流量，并根据规则进行拦截，所有获取到的流量全部转给了应用层，说明DPI啊什么的都交给应用层去做。
但是我不知道现在主流的做法是什么样子的，您能简单描述一下您当时的框架结构吗？

cnsinda008

回复 3# qianguozheng

netfilter 是可以作用在网桥的转发链上的，这个我在网桥的代码里看到了。我现在就是自己编译了一个网桥，根据我自己的规则进行数据的拦截，并将数据通过procfs 虚拟文件系统提交给应用层的。
现在的问问题是我不知道这样做是不是另类的做法，或者说我不知道现在的智能网关设备，或者说防火墙什么的都是怎么个结构。

还有一点就是，应为我选择在2层做，所以3 层和 4层的协议我都需要自己来分析，不知道有没有什么偷懒的方法。

wait_rabbit

cnsinda008 发表于 2017-08-21 13:21
回复 5# wait_rabbit

DPDK 貌似是个好东西，不知道用起来麻不麻烦

因为你只做2层转发，这正是 dpdk 最拿手的好戏。性能肯定是最高的，暴打内核。

需要自己写业务逻辑，官方和网上都有各种很成熟的方案。

philarlala

你的这个需要，跟我之前做个的一个东西有点像，你可以看一下我的这篇文章http://blog.chinaunix.net/uid-30226910-id-5166650.html，看看是不是一样的