| 使用 m0n0 流量控制完美控制网络形势 |
| 作者:佚名 文章来源:www.router.net.cn 点击数: 更新时间:2006-8-22 14:18:08 |
|
|
|
|
|
|
当网络处于瘫痪境地,抱怨P2P的时候你依然束手无策么?不,要坚决站起来,管理员的信条应该是“此网是我开”
典型案例:
接入方: 入网机器300台,二层交换机汇聚,核心是老土级别的DES-1024。其他交换机为TENDA16口外贸型交换机若干
接入拓扑: 极其简单,多个交换机级联汇聚于核心交换机DES-1024
出口: 电信10Mb光纤
事件一: 入网第一天,兴奋的网虫蜂拥而至,因为测试未作任何设置,DES-1024立刻堵塞,10分钟自动重启一次,世界爆发然后归于起点。
事件二: 当策略出台以后,网络稳定,但是部分楼栋交换机(可怜的TENDA)出现堵塞现象,用户众云集论坛恶骂BT无道
相信,对于以上问题,如果没有任何资金设备提供者的条件下,一般的网络管理者会选择紧闭端口或者放弃两条路选择。但是,结果是任何问题都没有解决。如今,我相信,每个听完我讲的故事,都会觉得m0n0给了你第三个选择。
那么我们一起来探讨,m0n0万枚控制网络形势的方法。
打开流量控制的界面,你看到的是“规则,管道,队列,流控精灵”,其中最有价值和最没有用的就是传说中的流控精灵。为什么说她最后价值,后面你会了解,为什么又说她没有用,因为,流控精灵给你的流量控制规则起实形同虚设,多数P2P软件已经升级为可以自主定义端口,所以针对端口的流量限制实际上是没有意义的。但是,她自动化配置生成的规则,可以让你充分揣摩流量控制的精髓。
而这精髓就是队列。
”管道“在m0n0中是一个网络模型,每一个管道都是独立的。对于对于你希望控制的对象可以建立不同的管道,例如TCP,UDP数据流可分别使用不同的管道,也可以使用同一个管道。
”队列“就是在管道中的模型,队列的参数是权重、延迟、slot。它依据规则结合自己权重在一个转发周期中进行排序。那么情景如下:在下一秒有1000个数据包通过管道,但是一个队列长度(slot)只有100位,那么就要排10个队列。每一个队权重50的数据包排在前50位,权重30的排在50位后面的30个,权重15的排在80位后的15个,权重5的就排在末5位,于是一个完整的 slot就出来了,接着是后面900个数据包的队列循环不止。发送时每个队列按照延迟数值进行延迟发送。
理解了管道和队列模型,我想我们成功了80%,剩下的20%就是对于规则的理解。
需要注意的是:管道和队列都具有掩码匹配”源/目的“的选项,如何使用呢?这是我们就要了解我们的需求是什么。简单的说,管理的细分程度和管道队列模型设计的不同决定了这个选项的使用与否。一般来讲你需要了解网络的行为才能制定你期望的管理模型。对此不作详述。
最后就是对于这个300多机器 网络使用二层简陋交换机的流量管理大法 。
由于分了5栋楼,因此采用B类地址:网关 172.168.16.254 掩码21 (255.255.248.0)网段为:172.168.17.0~172.168.22.0,子网的掩码为255.255.255.0。针对WAN口(当然也有针对LAN口的),手动建立10个管道(如果能提供预定义工具就好了)分别为TCP管道5个,UDP管道5个。每条TCP带宽2M,UDP带宽1M;针对LAN口
WAN口:
1.建立UDP队列3个,“UDP上传” 权重15 (匹配源),“UDPQQ”权重30(匹配源),"UDP下载"权重55(匹配目的)
2. 建立TCP队列2个,"TCP上传" 35 (匹配源), "TCP下载"65(匹配目的)
依次建立规则(仅一例):
1. 队列:UDPQQ , 接口:WAN ,协议UPD,源地址(网络):172.168.17.0/24 端口:任意 ,目的地址:(任意) 端口:(8000~8001),方向:出
2. 队列:UDP上传,接口:WAN ,协议UPD,源地址(网络):172.168.17.0/24 端口:任意 ,目的地址:(任意) 端口:(任意 ),方向:出
3. 队列:UDP下载 , 接口:WAN ,协议UPD,源地址(网络):任意 端口:任意 ,目的地址:172.168.17.0/24 端口:(任意),方向:进
4. 队列:TCP上传 , 接口:WAN ,协议TCP,源地址(网络):172.168.17.0/24 端口:任意 ,目的地址:任意 端口:(任意),方向:出
5. 队列:TCP下载 , 接口:WAN ,协议TCD,源地址(网络):任意 端口:任意 ,目的地址:172.168.17.0/24 端口:(任意),方向:进
类似做足5个网段。应用,你会发现,原来形势掌控在自己的手中原来是这么容易。
二层交换机不会在堵塞了,用户不会再叫烦恼了,一切竟然变得如此安静。
PS:
现代P2P软件多使用UDP协议作为传输方式,而且对于网络危害最大的是上传。因为上传是P2P理念最希望看到的,上传越多下载自然就会越多,所以,限制p2p优先限制上传。
m0n0的管道技术非常稳定,系统占用也很低,CPU通常只有40%~60%,网络状况稳定,但是p2p下载会变得极其缓慢,这不就是我们想要的结果?
其实流控的理念不仅仅只是对于WAN接口,固然流控WAN口自然会出现一个自动双向的限制(双向掩码匹配的作用),但是对于LAN本身也有可控管的余地,这样可以抑制风暴和无味的广播流量对于内网的循环冲击。
在门户网页上提供一个arp绑定的.BAT文件下载,帮助用户和自己防止arp病毒,命令很简单;
@echo off
arp -d all
arp -s <网关地址> xx-xx-xx-xx-xx-xx-xx
这样可以杜绝二层交换机因为MAC地址表被无效的MAC地址写满导致的问题。
|
| 文章录入:zyydaolang 责任编辑:zyydaolang |
|
上一篇文章: 三步就可全面地查看各客户机流量的办法
下一篇文章: monowall+serv-u做内网的FTP映射! |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
