探討Qos頻寬管理器-解決塞車,搶頻寬,取代IP分享器

**nsh1204** · 2005-12-20, 09:21 PM

終於考完試有時間安裝了爬了許多文再請問大大一個問題我不知要安裝Coyote 還是IPCOP (含proxy功能) 我要用的環境是學生宿舍 2m/256(因為不能簽8m) 20人使用,只想讓學生上上網要限制p2p等封包大的軟體謝謝大大的回答

**linux_xp** · 2005-12-22, 08:45 PM

作者：nsh1204

終於考完試有時間安裝了爬了許多文再請問大大一個問題我不知要安裝Coyote 還是IPCOP (含proxy功能) 我要用的環境是學生宿舍 2m/256(因為不能簽8m) 20人使用,只想讓學生上上網要限制p2p等封包大的軟體謝謝大大的回答

需要 L7-filter 的功能，來過濾 P2P 等連線的環境，推薦使用 Coyote。

最大的原因是 Coyote 的 L7-filter 是內建原生的，不需改任何核心的東西，即可馬上使用。　

IPCOP 雖然號稱有 L7-filter 功能，但我搞半天也試不出來。它很多名詞和概念都是 IPCOP 自創的，需要時間去適應。

真的有必要安裝硬碟，使用透明 proxy 的時候，建議直接裝標準 Linux，如：Fedora core 4。安裝完成後，網路設定好，執行兩支 shell script 就可以達到軟體路由器的大部分功能，剩下的 squid、dhcp 等服務花點時間稿一下也 OK 啦。用標準 Linux 當路由器，更快更好且擴充性更強，符合工業標準。

**harvey9368** · 2006-01-29, 11:37 AM

作者：pipn

我覺得p2p的影響並不是頻寬而是連線數...
所以你限制頻寬並無多大的效果...我自已設的 12m/1m
共七個人用,game和p2p 每人180k下載 15k上傳
只要有人一用bt,其他的人開網頁都會變得很頓....
這是小弟的經驗,也請各位指教~~

請問一個很笨的問題連線數----> 是什麼意思
您文章中提及雖然已經設定流量管制可是只要連線數一多
其他電腦的頻寬沒有減少可是上網速度卻被拖慢
這是不是因為頻寬管理器沒有辦法處理(CPU or RAM不夠快)的原因阿

**acion** · 2006-02-11, 11:57 PM

作者：harvey9368

請問一個很笨的問題連線數----> 是什麼意思
您文章中提及雖然已經設定流量管制可是只要連線數一多
其他電腦的頻寬沒有減少可是上網速度卻被拖慢
這是不是因為頻寬管理器沒有辦法處理(CPU or RAM不夠快)的原因阿

http://www.qno.net.cn:2480/forum/viewtopic.php?t=436

**needmaster** · 2006-03-04, 03:11 PM

我們實際談QOS頻寬管理器，最新已經面臨了一些頻頸而無法解決之問題：

已經用最好的Qos了，以前不會塞車.速度慢，現在為什麼一直發生.....

我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

不管是硬體Qos或是軟體式Qos(coyote,ipcop...)目前面臨頻寬控管上的問題。

1.Qos之L7( layer 7 or IPP2P)功能是專門控管p2p軟體頻寬，但面對市場上軟體日新月異已無法控管了。
　因為L7功能大部分是針對國外知名p2p軟體而設計的，但是對於亞洲人所設計之p2p軟體卻　
　發生無法控管的問題，目前已經浮上檯面了，許多Qos都無法控管了。

２.最具代表性　mxie,foxy　等p2p軟體，已經非L7的Qos所能控制的，這個問題大家或許都沒
　注意到，但實際去查使用這些軟體的用戶的使用頻寬及連線數都幾乎滿載，所以莫名奇妙
　產生頻寬吃光，而發生塞車現象。

這是最近數月來所產生之問題，已非目前第二代之Qos所能解決，尤其是社區寬頻,學生宿舍,房屋出租,
家人共享網路等必須注意的，我希望能夠供網路管理者從這方面去查證找出塞車的原因。

第一代Qos是針對IP或PORT來控管頻寬.
第二代Qos是針對IP或PORT再加上L7(Layer 7)來控管頻寬.

第三代的Qos頻寬管理器是未來的趨勢的，其發展不能只有L7功能，需要設備上加上特殊功能的管理機制才能的到最佳的頻寬控管。(請注意企業的網路管理規定那套是不可行的,而是Qos上必須增加一些自動化的管理功能才能解決)

**linux_xp** · 2006-03-04, 07:07 PM

這的確是個問題
Layer7-filter 的原理，是利用分析封包檔頭資料
來判斷封包屬於何種 Application 應用

每種 Application 應用，基於國際標準，會在封包內容中指明它的用處
例如：web server 出去的封包，會在封包內容中帶有 http 協定的字串
當 L7 過濾器偵測到封包中的這個字串，即可判斷該封包是何種用途
過濾器本身帶有一個"比對資料庫"，是用來比對封包內容的標準

面對如雨後春筍般冒出的新型 P2P 軟體
它們有一個特點：就是非傳統 BT 協定或者電驢傳輸協定
此時必須擴充或更新 L7-filter 過濾器的比對資料庫
也就是所謂的樣式檔資料，才能有效阻擋

然而因應 ISP 惡劣封 BT 的行為
中國大陸方面的 BT 軟體，也使出了殺手澗
即是乾脆把封包「加密傳輸」，代表性軟體如：BitComet

當封包被加密時，其資料結構會產生改變
簡單的說就是一堆亂碼，除非有金鑰進行解密，否則無法讀取其內容
換句話說，L7-filter 將偵測不出任何東西
使的封包可以不受過濾器檢測，而大搖大擺通過
雖然此種「加密傳輸」，目前還不是很流行
但未來如果流行起來，什麼 L7-filter 都是無效的....

----------------------------------------------------------------------

朔本初衷，在還沒有 Layer-7 管制之前
傳統我們用的是 Layer-3 來管制，也就是封 port

封 port 的缺點是很明顯的，以前也很多人討論過
一個最大問題的是：就算封到剩 port 80 (www)
一些軟體還是可利用 port 80 進行傳輸，所以檔不住
但事實上，這個說法並不盡然全對

逆向思考
poer 80 的最初定義，是 http 協定用的標準埠
換言之，如果 port 80 不是用在 web，則必然是非法闖關

還是搭配 L7-filter ，但不是偵測 P2P，而是偵測 http
不是阻擋，而是開放通過

此時可以先用 L7-filter 偵測出 http 封包，給予貼標籤
http 的封包，給予通過
也就是說， L7-filter 偵測出來的，才能通過
其它所有 port 全部封鎖，非 L7-filter 偵測的出的封包全部丟棄

這就好像本來的作法是：
在商場門口設偵測器，偵測到有人偷東西，才抓出來，但時代進步，小偷自己帶消磁器去把商標的磁性消除，就抓不到了。

新型的作法可以是：
機場設海關，每個過去的人都檢查行李，徹底掃描，唯有確定安全的才放行，其它通通抓起來。

inux iptables 非常具有彈性，可程式化
以上的論點，iptables 很容易即可達成，只是換個思路而已

硬體式防火牆的話，則可能必須更新韌體
估計這可能是"第三代"的作法：全部封鎖，開放特定標準傳輸

**needmaster** · 2006-03-07, 10:28 PM

我們實際談QOS頻寬管理器，最新已經面臨了一些頻頸而無法解決之問題補充：

第二代Qos頻寬管理器(社區寬頻.宿舍等)之 Layer 7頻寬管理功能小缺失

我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

市面上凡硬體式或軟體式(Coyote,ipcop) 之 Layer 7 頻寬控管功能之共同缺失.

大家都知道Layer 7是控管p2p軟體頻寬的最佳功能.

很可惜如果控制BT(或變種p2p軟體)頻寬時,並不能完全控制,但基本上還很不錯.
只是有些漏網的封包(udp 封包)不能被控管,因此會使用到非配置bt的其他頻寬.

如配置全部IP共用 BT頻寬為 1M/64K ,而某IP頻寬配置為1M/64K (源頭總頻寬8M/640K)
如此當此IP用戶使用BT時,下載可控管無問題,上傳頻寬會使用到二個 64k+64k=128k
大家不訪測試看看,至少已碰到很多實例了.
條例:iptable l7 bt 頻寬規則放第一條,iptable IP 頻寬規則放第二條.
然後查看iptable count值及lan&wan之網卡流量.

所以請各位當您的區網上網發生塞車時,查一下是否為這原因.上傳頻寬滿載,
,但這不是配置的頻寬錯誤,而是此問題您必須考量進來.

第三代的QOS頻寬管理器,需增加何種功能才能有效的運用頻寬,而不是一味地如何去
控管應用軟體的頻寬.這才是未來頻寬管理器.

**needmaster** · 2006-04-10, 10:31 PM

我們實際談QOS頻寬管理器，Qos的傳輸效能：

我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

很多的QOS設備會提供所謂的每秒傳輸效能(單位為MHZ)
請大家看清楚規格表,別被表面的規格給騙了,因為各家並沒有標示的很清楚.

通常規格標式傳輸效能會分為二種:
1.單純NAT轉換的效能,一般簡易防火牆.通常均標示此效能
2.另一種是有NAT+QOS的效能,很少有標示.

尤其是第二種很多都隱藏不標示,然而實際運作而言,好的QOS可達到
25MHZ-35MHZ,但比起第一種標示可能數值相差極大.不可不知.

當然還有很重要的效能限制,也就是防火牆設定的規格條例越多效能也會降低,
且針對每個IP流量統計或防火牆流量統計越多,效能也降的越多.

所以有很多的QOS在標示上做手腳,要不然就是把統計報表,及防火牆功能拿掉少
了很多.就號稱自己的設備效能有多好.所以慎選QOS,一定要看符合自己的需求
的功能.