网站做后台教程,网站建设推广费计入什么科目,asp是网站开发吗,定制做网站设计http://www.pppei.net/blog/post/331 在作流量管理时#xff0c;这些概念很重要#xff0c;不要迷失。。 这里再对Limiter 的源地址和目的地址做个说明#xff0c;因为limiter是被应用在Lan接口的Rule里#xff0c;相对pfsense来说#xff0c;用户发往 Lan口的流量为In这些概念很重要不要迷失。。 这里再对Limiter 的源地址和目的地址做个说明因为limiter是被应用在Lan接口的Rule里相对pfsense来说用户发往 Lan口的流量为Inpfsense通过Lan口发给用户的流量为OUT因此限制上传的limiter因该应用在In方向limiter的参照值应该为“源IP”下载的Limiter应该应用在OUT方向因为是转发给用户的所以这个limiter的参数值应该是“目的IP”。 另外策略路由还有流控就在LAN里作就OK了但目前不很清楚它和FLOATING的差别。因为同样都会生效呢。。难道FLOATING规则真的是为了不指定具体出口之类的 ~~~~~~~~~~~~ 流量管理 pfsense 有三种流量管理方法。一是Queue这种方式适合做QOS服务质量保证对数据进行分类根据不同数据的不同特性提供不同的服务质量比如IP电话的语音数据需要低网络延时而某用户的下载流量只关心总带宽这时就可以将ip电话的数据标记出来放到低延时的队列里下载的流量放到只保证带宽的队列里网关会用不同的算法转发相应的数据包达到预定的服务质量。如果要实现对每个IP分别限速就要为每个ip都建立一个队列然后将每个IP的数据对应到唯这个队列上二是使用Captive portal这种方式更适合用在无线网络环境中用户需要打开浏览器输入用户名密码之后才能正常上网同时为每个用户分配固定的带宽。只要开启了Captive portal即使关闭了认证也还是要打开浏览器在弹出的页面上点击确定后才能上网用在有线环境里太影响用户体验而且目前Captive portal 只有全局一个实例2.1版可以针对不同的端口启用不同的实例三是使用防火墙的高功特性这种方法是根据IP地址分别进行限速的。在防火墙规则中限速有一个缺点限速和访问控制策略偶合在了一块失去了灵活性配置的时候要谨慎一点不然可能会出现限速失效的情况举个例子为说明简单这里限速指的是下载限速①——-permit tcp any to host 1.1.1.1 from lan————————②——-permit any to any and speed limit 2M from Lan—— 策略①中没有做流量限制②中每用户的下载都限制在了2M。防火墙规则匹配是自上到下匹配成功就不再向下进行因此去往1.1.1.1的流量匹配了第一条策略没做限速第二条规则中的限速也就失效了。 另外再对速度做个说明同样的策略在第一条上加上限速①——-permit tcp any to host 1.1.1.1 and speed limit at 2M from lan——-②——-permit any to any and speed limit 2M from Lan—— 去往1.1.1.1的流量还会匹配策略①其它的流量匹配策略②那么如果用户同时有从1.1.1.1下载的流量和其它从其它地方下载的流量从1.1.1.1下载.限制在2M从其它地方下载也被限制在2M因为是同时产生的流量所以加起来用户得到了4M带宽。其实结果并不是这样的在防火墙规则中限速时要先定义limiter然后在规则中引用。内部是这样实现的BSD的 PFpacket filter没有限速功能定义出来的limiter其实是另一个防火墙实现IPFW中的组件这个组件实现了限速而且这个组件支持PIPE管道。PF中将匹配到的下载流量通过PIPE送到IPFW的Limiter中limiter会根据定义时规定的参照值源、目的ip下载参照目的IP为每个ip生成一个bukket数据通过bukket的速度是它所属Limiter的速率。回到上面的例子规则 ①②中下载2M的limiter为同一个同时匹配了两条规则的数据通过PIPE被送到同一个Limiter中这个limiter会根据目的ip生成一个BUKKET这个bukket最大速度2M用户得到的带宽最大也只是2M。如果规则①中使用了其它limiter比如下载3M的limiter那么用户最终得到的带宽就是5M了。 实施方法前边也都说过了很简单了Firewall -Traffic Shaper - limiter 下创建Limiter需单独为上传下载创建limiter 然后在Firewall - rule-Lan 规则的高级特性 In/Out 中应用limiter。 这里再对Limiter 的源地址和目的地址做个说明因为limiter是被应用在Lan接口的Rule里相对pfsense来说用户发往 Lan口的流量为Inpfsense通过Lan口发给用户的流量为OUT因此限制上传的limiter因该应用在In方向limiter的参照值应该为“源IP”下载的Limiter应该应用在OUT方向因为是转发给用户的所以这个limiter的参数值应该是“目的IP”。 还有人可能会有疑问应用在Lan口只是转发给用户的速度慢了从Wan口进来的流量一样不受限制。这种想法是错的因为TCP有流控机质UDP的话就要看上层应用的质量了。 在应用了新策略后之前已经建立的连接是不会受这些规则影响的可能得不到你想要的效果需要在Diagnostics-States - reset status 下清理一下pfsense的状态中断用户的连接就能看到效果了。 如果你更习惯在命令行操作给出一些常用命令不用和web界面死磕了 pfctl -sn #显示nat规则pfctl -sr #显示filter规则pfctl -sa #显示所有规则pfctl -ss #显示防火墙状态pfctl -F nat #重置防火墙状态清空NAT状态表ipfw pipe show #显示limiter的状态 其中0000x 为limiter的编号 BKT一列就是为每个ip分配的bukket编号
