【IT168 专稿】早期因特网应用有限,也不顶重要,因此带宽资源往往剩余,不需要进行特别的管理。现在,由于机关企业营运活动,如查找数据、远程通讯、讯息同步,都依赖因特网。因此带宽资源使用往往困境屡生,需要网管时时关注。对于一些依赖带宽提供服务的业者,例如网吧、小区宽带、学校宿舍及ISP等,一但带宽不足,使用者上网卡,就会产生抱怨,因而不再上门或要求退费。再加上现在很有多新兴应用,例如疯狂下载软件BT、迅雷,大量占用带宽影响其它人,或是MSN, QQ影响员工上班生产力或引致病毒,因此带宽的管理已成为现今大家关注的热点课题了!
QoS:保证人人有带宽
工欲善其事,必先利其器。身为管理者必须先了解因特网应用的一些基本观念,才能落实对应的管理。以下是几个从事宽带接入带宽管理配置时,需要先了解的基本观念。
地址:因特网使用IP地址作为位置识别。由于因特网上连接的计算机为数庞大,且包含着各式各样的计算机系统,因此,必须有一套所有计算机系统都可以接受的寻址方式,用以指定所要连接的计算机是那一部。IP Address 是由 4 个介于 0-255 之间的数值组合而成, 中间以小数点隔开,例如192.168.3.45。
通讯端口:因特网通讯使用通讯端口分别,以将带宽划分给不同的应用。通讯端口好比我们无线通讯用的频道,不同的应用使用不同的频道,例如不同广播电台用的频率就不同。常见的因特网应用通讯端口为0-65535,常见的网页http用80,ftp用21,邮件寄送smtp用25。而有些复杂的应用则同时用多个通讯端口,例如eMule 使用两个埠 : TCP 4662 及 UDP 4672,而eDonkey 使用埠 :TCP 4661,4662 及 UDP 4665。
内容:是指网络应用传送的信息,例如网页文字、图片,或网游的场景、位置信息、或是Java程序代码等。内容才是使用者真正需要的信息,网管有时会不希望特定内容传送,例如情色内容、病毒、或对企业安全危害的内容。
封包:网络内容传送时,为了确保传送过程安全及顺利,会将内容加以分割,并加上头尾信息,以封包形式传送。每个封包,都有发送及目的的地址、使用的通讯端口、内容的大小、及传送需要的信息。打包成封包主要的目的,是便利传送工作的分散处理,并确保传送工作依预期从发送地址,依次转送到目的地址。因此只要能解开封包的内容,就能了解该封包的相关信息。一般我们在作带宽管理时,大多是透过解析封包的方式,检查传输的相关信息,我们称为SPI(Stateful packet inspection)。
路由器:路由器是位于不同局域网,对外或互相连接的设备。路由器会判断封包的目的及内容,决定转送的信息。因此所有的封包,经过路由器时,都会对传送讯资加以修改,以转送到适当的路径。多WAN路由器则更复杂,除了决定适当的路由方向外,还多了必须决定要朝那个WAN口外送的决定。
总结来说,各种因特网应用的目的,是要传送信息内容,但是为了有效传送,所以会将内容包装在封包中,透过IP地址及通讯端口等机制,将封包透过路由器在各个网络间转送。因此,若我们要有效地管理带宽,就必须封包检查的方式,查看封包的各种信息,并针对这些传输特性加以管理。
实例说明: 一个人需要用到的带宽有多大?
一般用户在上网时,如浏览网页或收发信件时,需要的带宽约为150-200Kbps,若我们以一条上行512Kbps,下行2兆的ADSL来当基础。我们可发现十个人同时上网分享一条ADSL带宽时,响应速度还可以接受。但由于一般企业所有人上网的机会可能不高,所以以这样的带宽,应可以容纳30个人的办公室上网分享,不会有太大问题。
但是当有大量下载时,一个客户就可以占去大部份带宽。在一般的网吧环境,一个BT用户可以占去的带宽,往往高达2-5兆,把多条ADSL带宽都占去。我们在给客户,例如小区、酒店、及企业,提供支持时,常常发现用户抱怨上网突然变卡,收信上网都变很慢,以为是路由器的问题。结果仔细看了包后,有九成的机会是因为内部有人在作BT下载或看电影,影响其它人的正常作业。
以下为一般一网时,一个人需要用到的带宽大小:
??浏览网页 10-30 K
??看电影 0.6-0.8M
??玩网游 20-30K
??收发信件 依用户与邮件服务器带宽而定,一般约为30-500K
??FTP下载 依用户与FTP服务器间带宽而定,一般下载可占到可用带宽的七成
??BT下载 ? 依用户可使用带宽而定,一般可占到上行及下载可用带宽的的八到九成
??网游更新补丁 依用户与FTP服务器间带宽而定,一般下载可占到可用带宽的七成
要注意的是,像BT这种下载程序,往往将上行及下载的带宽都占去,使得一般用户看网页时,由于外送要求送不出去,大幅影响其它用户上网。又如看电影,影音串流每个用户都要占用约0.8兆才能运作,所以三五个用户,就足以占住一条ADSL带宽,使整个网络其它用户无法正常使用了。
另外我们在协助客户作带宽管理时,常碰到的一个反应是:"带宽本来就是要给用户用的,为什么要去作限制呢?"而且相关的配置需要费人力,不如不要管它。殊不知许多情况往往是一个用户影响其它所有用户的带宽,在网吧或小区的情况,往往造成其它的用户长期喊卡,而不再上门或退订,长期就造成商誉及收入的损失。而针对特定的人限制,只是让少数人较为不方便,例如下载从几分钟变成一钟头,或更新补丁从几秒到几分钟,但是作这些动作本来就需要一些时间,即使给予限制,客户也不会抱怨。
因此总的来说,不管是企业、网吧、小区、学校、及各种单位,都应将带宽视为一个重要的资源,加以适当的管理,才能发挥较大的效用。下一次,我们给大家介绍带宽管理有那一些工具可以使用。
较常见的带宽管理方式有哪些?
带宽管理就是针对有限的带宽,规范适当的限制或规则,以满足带宽使用者的需求。带宽管理可从不同的角度来落实,例如以人为规范进行、以计算器是否可以上网进行,但最方便合理的,还是透过路由器的设定达成。因为路由器往往是局域网对外的网关,透过路由器管制,往往可收集中管理效果,不易有遗漏。路由器可检查每个进出的封包,决定优先处理或者不予处理,以将带宽保留给较重要的应用。以下是从路由器的观点,较常见的带宽管理方式:
1. 依使用者或主机加以管制:我们可针对特定局域网或外部的主机,加以进行管制。例如不允许内部某部主机上网,或只允许某部主机上网;或不充许网络用户联机外部某台主机、、等等。这样的作法,都是透过限制存取某个使用者或主机的方式,进行管制。例如在下图的防火墙配置中,我们看到存取服务规则设定中,可经由设定“来源IP地址”及“目的IP地址”的方式,限制或充许联机的进行。其中来源地址可能是局址网用户,也可能是外界需要服务的位址;目的IP地址也相同。网管可依需要进行配置。
对局域网用户而言,以IP进行管制也不是完全没有缺点,有些聪明的用户会自行修改IP,以跳避路由器的管制。有些用户甚至会修改成领导的IP,以取得更高的权限,进行信息的存取及带宽的利用。对于网管人员,这个问题当然要加以解决。还好,每个网络卡都有一个少有的识别号码,一般用户很难更改。因此我们可透过“IP与MAC绑定”的功能,规范在分配IP时,某些MAC地址,即网络上的网络卡/主机,主能取得特定的IP。若设为其它IP时,则无法上网。这个功能对于智能小区业者及高度敏感的单位网管都很重要。
2.依应用加以管制:我们也可以利用网络应用的端口数,加以进行管制。这就好比军事上针对特定频道加以干扰,破坏通讯的例子一样。由于常见的应用,往往都有特定的埠数,因此我们只要找出对应的埠数,在存取规则设定中,进行允许或限制的执行即可。依应用的埠加以管制。以下的画面,就显示出常用的应用埠数,只要进行设定允许或禁止,即可管制不同应用封包的进出。
2. 除了常见的应用埠数外,面对日新月异的应用,网管也可自行设定应用及对应埠数,以简化日后设定的过程。
3. 依内容:最直接的作法,就是针对传送内容进行管制。也就是不想传送什么内容,就透过关键词或文件名管制。在以下的管制设定页面中,我们可以看到网页内容管制设定,是依网页内容所包含的字符串进行管制。而网页字符串,则是透过传送网页的名称或档名,加以管制。透过这二者的设定,网管可阻绝特定内容的网页,或者是特定档案格式的网页、服务或档案。
4. ? 4. 依WAN口:对于多WAN路由器而言,也可透过不同WAN口的分配模式,将带宽分配到不同的WAN口。Qno的产品可支持三种不同带宽分配模式。IP群组是将特定IP使用者,指定到某个WAN口,它的好处是可将不同群组使用带宽分隔来开,部份群组使用带宽的情况不会影响其它的使用者。IP负载均衡则是路由器会依局域网IP,依次分派到不同WAN埠,以平衡带宽的使用,它的好处是同一个IP存取流向都经由同一个WAN口,能适应不同应用的通讯特性,不易出错。智能型负载均衡则是路由器会综合考虑应用、使用带宽、WAN流量、及IP分布,自动进行带宽的分布。透过WAN口的限制,也能有效进行带宽的管理。
以下显示不同WAN口还可以设定各种管制方式,交义应用进行管制。
除了以上的管制方式外,还有其它的方式可以进行管理。例如在防火墙配置的访问存取规则设定中,每个规则都可设定作用的时间,可依星期及一天的时间进行设定。网管可设定上班时间启动管制,在下班及休息时间不作管制。
以上我们了解了带宽管理的一些手段后,相信大家对如何作带宽管理有一个基本的了解。但是实际上如何进行相关的配置呢?我们在接下来的文章会给大家介绍。
如何利用路由器进行QoS带宽管理
在我们了解可使用的带宽管理工具后,网管必须针对面临的问题,进行分析诊断,再适当组合不同的工具,以达到限制或管理的目的。虽然不同网管面临的问题不同,寻求的解决程度也不相同,但是整体来说,要透过路由器进行带宽管理,是有循的方式可以进行的。以下我们简单介绍这个程序,并以几个例子说明如何实际针对问题,加以解决。
一般来说,在进行带宽管理或管制时,有以下的步骤可依循:
1.定义问题:首先网管必须先了解问题出在什么地方,才能针对问题谋求解决方式。有些问题是因为带宽不足造成,有些问题是因为ISP服务质量不足,而有些则是特定使用者大量下载档案造成。为了定义问题,网管必须从路由器或其它网络监看软件,了解带宽的使用,才能真正定义问题。定义问题对于寻求解决之道提供良好的参考。
2.决定解决策略:当了解问题所在后,接下来就是要决定解决策略了。其实要进行带管理不一定全透路由器的配置进行。对于需要管理的应用或使用者,是限制还是禁止?进行限制的时间是那时?是否一体应用于所有的使用者,还是特别的使用者。网管必需考虑实际情况,决定整体解决策略。
3.了解关注应用的网络运作:接下来需针对需要进行管理的题目,了解其网络运作情况,例如应用程序名称、通讯端口、服务主机IP、文件输档案扩展名等。常见的应用,很容易在网络上或论坛中找到详细的工作原理,及对应的管制之道。如果是不常见的应用,则必须使用路由器的监控功能或网络监控软件,了解相关的信息。
4.决定管制方式:当了解需要管制对象的运作原理后,即可很容易地决定管制的方式。常见的以IP、通讯端口、内容、档名、时间、及WAN端指定的方式,都可应用,或者混合使用。网络论坛上也可找到相关的信息,有些管理方法比其它的方式更为简单有效,最好作些研究再进行处理。
5.寻找路由器上相关配置:最后就是落实在路由器的配置上。网管必须仔细阅读路由器的产品说明书,并找出需要的设定实际在配置画面上进行设定。
6.进行测试:作完配置后,记得要进行实际的测试,观察相关设定是否生效。许多情况下,往往因为忘记存储或是应用的IP或通讯端口可以改变,导致预期的管制或管理效果并没有作用。所以作完配置后,务必要进行测试,确定达到预期的效果。否则仍需要再找寻其它解决之道。
接着,我们下面以几个案例,说明几种常见的带宽管理及管制设定:
限定时间上网
有一所学校,在上计算器课程时,不希望学生因上网分心,所以希望在上课时间禁止学生上网,而下课及其它时间则不加限制。因为主要的限制为时间,而希望阻绝所有的上网行为,因此我们可透过禁止所有通讯端口服务来达到这个目的。因此,设定重点为:
管制动作:禁止/服务埠:所有端口[TCP&UDP/1~65535]/来源接口:局域网/来源埠:任何的/目的IP地址:任何的/时间管制:从周一到周五的早上8点到下午6点。
作完设定后,按储存,就可达到上课时间管制学生上网的目的了。
网页以外的服务都禁止
某间公司由于工作需要,上班时间只允许员工访问网页,其它的上网动作都不允许。由于网页的传送是透过TCP80端口传送,因此我们可以透过只允许TCP/80埠传送来达到这个功能。设定的方式如下:
首先比照前例,新增加一条规则禁止所有的封包通过防火墙,也就是说禁止上网;也就是管制动作:禁止/服务埠:所有端口[TCP&UDP/1~65535]/来源接口:局域网/来源埠:任何的/目的IP地址:任何的/时间管制:从周一到周五的早上9点到下午6点。
然后再新增加一条:允许TCP/80埠的封包通过。也就是说管制动作:允许/服务埠:HTTP[TCP/80]/来源界面:任何的/来源IP地址:任何的/目的IP地址:任何的/管制时间:从早上9点到下午6点。最后点击确定完成此设置。
这样就可以实现只能访问网页的这个功能了。设定完后,在“规则”页面要注意的是:由于规则是从上向下执行的,所以要把禁止掉连接网络规则放在上,再把打开TCP/80端口规则放到下面,才能达到预期的效果。当然我们也可以透过相同的设定,透过开放电子邮件发送及收信相关的端口,来允许电子邮件服务的通过。
禁止用户使用MSN
许多公司领导不希望员工上班使用MSN,以免影响工作气氛。MSN Messenger 可以使用埠1863 直接进行TCP 连接或使用80埠进行HTTP 连接来与MSN服务器通信。因此,要禁止MSN,就可以从阻止TCP/1863埠及阻止msn 访问msn.com和hotmail.com的域名着手。
阻止TCP/1863埠需进行的设定为:管制动作:禁止/服务埠: [TCP/1863]/来源界面:任何的或局域网/来源IP地址:任何的/目的IP地址:任何的/管制时间:视情况设定。
由于MSN还提供Web 版本的MSN, 通过禁止对msn.com的HTTP访问即可,它还提供通过它邮箱的服务器登陆,通过禁止对hotmail.com的访问即可。阻止msn 访问msn.com和hotmail.com的域名的作法为:启动网页字符串符管制,加入msn.com及hotmail.com即可。
禁止PP点点通软件
PP点点通也是许多网管头痛的应用。禁止PP点点通软件必须透过以下作法来落实:阻止对220.175.8.100 的http访问, 即TCP/80port -不能搜索;阻止来源于LAN 的所有IP 对UDP/9090~9099 端囗的所有访问(不能共享其它PP用户的文件);阻止来源于LAN 的所有IP 对udp/8094 端囗的所有访问- 不能登录PP;阻止来源于LAN 的所有IP对TCP/5354 端囗的所有访问-不能登录PP。
因此,要禁止PP的实际配置将会有以下项目:管制动作:禁止/服务埠:HTTP[TCP/80~80]/日志:关闭或启动/来源埠:局域网/来源IP地址:任何的/目的IP地址:单独220.175.8.100。
接下来的设定为:管制动作:禁止/服务埠:UDP[9090~9099]/来源埠:局域网/来源IP地址:任何的/目的IP地址:任何的。
管制动作:禁止/服务埠:UDP/8094~8094/日志:关闭或启动/来源埠:局域网/来源IP地址:任何的/目的IP地址:任何的。
接着再重复操作增加TCP/5354的禁止规则,即完成“禁止PP点点通”的设置了。
防止用户使用BT
据技术支持工程师经验,一个BT用户往往可以占用2Mbps的带宽,对于网吧及小区业者,甚或企业网络,都是一个很严重的问题。
BT可透过过滤BT种子进行阻绝,由于BT种子文件名称都为有”.torrent”的字符串,所以我们可以利用这个功能加以过滤。相关的设定为:启动网页字符串管制,新增输入要过滤的关键词”.torrent”即可。时间管制设定全部或到某一时间开始到某一时间失效。可以使用在非工作时间失效, 结合下面的日期, 可以控制在工作天上班时间禁止访问带某些关键词的网页,如果要禁止所有时段,
即选择全部。按下确定按钮, 使设置生效。