Monowall流量控制在城域网中的使用.doc

Monowall流量控制在城域网中的使用江油市明镜中学周传金目前许多城域网ADSL用户使用的是华为MT800做为接入终端，华为MT800带有路由功能，又能关闭NAT，并且价钱不贵，非常适合城域网信息中心对接入用户进行监控。但是这款终端它的路由功能不强，在数据量多的时候，容易阻塞并死机,更谈不上对内网中的PC进行流量控制。若将华为MT800复位为桥接模式，下面接路由器，则MT800一般就不会死机，如果此路由器有流量控制功能，那么整个网络不再拥堵。如现在江油教体局正准备开通视频媒体系统，若能对内网中的PC进行流量控制，限制其它PC的流量，最大限度的满足视频媒体PC的带宽，能大大缓解网络紧张的局面。本文介绍M0n0wall流量控制的应用。如图是我校10M光纤启用流量控制后的流量图，整个校园网非常顺畅。M0n0wall是一款基于freebsd的开放源代码的免费路由防火墙软件，是国外针对嵌入式系统开发的，它对计算机要求非常低，（据许多网友说，它对目前的主流硬件配置还不怎么兼容。）P或P级的电脑最好，该类型电脑稳定、发热量低，可长时间工作。我用了一台BX440的主板、P500、128M内存、500M硬盘（古董了吧，我还是在一台486机子上拆的，若条件好，可买电子硬盘，32M就够了。）带了120多台电脑。这里特别说明一下，因为路由器的数据交换量大，普通8139网卡，可能承受能力有限，特别是那种只有两指宽的简化版的8139网卡，我想你用了它，简直就是玷污了M0n0wall的圣洁，我带120台机子用的是两款intel的559网卡。M0n0wall的安装方法大体是，在windows系统中挂双硬盘，用专用的写盘工具对挂上的硬盘写入Monowall镜像文件，将该硬盘安装在装有双网卡的电脑上，启动电脑，进行相关初始配置，配置好后就可以基于Web界面，在其它电脑上对它进行设置，而做路由器的电脑连键盘、显示器也就不用了。这里有一个我所经历的一个网络堵塞的实例，我们学校网络教室学生机采用的是无盘XP系统，每次学生上课时，整个网络非常卡，经过多次排查，发现学生机上面没有安QQ软件，学生一进网络教室大都强烈地下载QQ软件，五六台机子就占用了全部带宽，我们可是10M的光纤用户，利用M0n0wall对网内的机子进行流量控制后，就不卡了。下面就谈一下M0n0wall的流量控制，打开流量控制的界面，（如图：）你看到的是“规则，管道，队列，流控精灵”，其中最有价值和最没有用的就是“流控精灵”。为什么说它最有价值，后面你会了解，为什么又说它没有用，因为，流控精灵给你的流量控制规则其实形同虚设，多数P2P软件已经升级为可以自主定义端口，所以针对端口的流量限制实际上是没有意义的。但是，它自动化配置生成的规则，可以让你充分揣摩流量控制的精髓。这里需要明白Monowall流量控制的几个概念。“管道”在m0n0wall中是一个网络模型，每一个管道都是独立的。对于你希望控制的对象可以建立不同的管道，例如TCP，UDP数据流可分别使用不同的管道，也可以使用同一个管道。“队列”就是在管道中的模型，队列的参数是权重、延迟、slot。它依据规则结合自己权重在一个转发周期中进行排序。那么情景如下：若有1000个数据包通过管道，但是一个队列长度（slot）只有100位，那么就要排10个队列。每一个队权重50的数据包排在前50位，权重30的排在50位后面的30个，权重15的排在80位后的15个，权重5的就排在末5位，于是一个完整的 slot就出来了，接着是后面900个数据包的队列循环不止。发送时每个队列按照延迟数值进行延迟发送。对于队列组建方式m0n0提供的非常灵活，三个影响队列的参数可以任意设定，主要取决于你的CPU和网卡的处理能力，当然还有你的内存。原则上理解，单个队列越长，处理起来效率就会越低，CPU占用越高，内存使用越大，但是网速肯定会提高，因为潜在的缩短了TCP/IP包流通的时间。流量控制的精髓就在这队列。“规则”针对不同的网络要求，进行流量控制而设置的规则，只有生成了规则，管道和队列才有效，同时规则是依赖于管道或队列。“规则、管道、队列”这三者的关系是规则是依赖于管道或队列，队列是依赖于管道的。需要注意的是：管道和队列都具有掩码匹配“源/目的”的选项，（这里的掩码不同于子网掩码中的“掩码”。）大体意思是源就是下载，目的就是上传，对此不作详述。为了对网络进行流量管理，还需要对子网划分进行理解，如果已理解了子网划分进行，可对这部分略过。子网的划分，实际上就是设计子网掩码的过程。子网掩码主要是用来区分IP地址中的网络ID和主机ID，它用来屏蔽IP地址的一部分，从IP地址中分离出网络ID和主机ID.子网掩码是由4个十进制数组成的数值中间用“.”分隔，如255.255.255.0。若将它写成二进制的形式为:11111111.11111111.11111111.00000000，其中为“1”的位分离出网络ID，为“0”的位分离出主机ID，也就是通过将IP地址与子网掩码进行“与”逻辑操作，得出网络号。假设IP地址为192.168.1.1，子网掩码为255.255.255.0，则网络ID为192.168.1.0，主机ID为0.0.0.1。计算机网络ID的不同，则说明他们不在同一个子网内。例如，信息中心对我校分的内网IP为10.102.35.1，子网掩码为255.255.255.0，在M0n0wall流量管理中我划分了四个子网，子网掩码26，也就是：255.255.255.192，分别为0-63，64-127，128-191，192-255四段。第一段为各办公室，多媒体室PC用，后三段分别分给三个网络教室用。10M的流量，做如下分配第一段分4M，后三段各分3M（考虑到100多台电脑没有同时使用，总流量没有超过10M）。需要说明一下，上面四段各段前面的数字就是网络ID号，后面的数字是广播地址，不能分给网内的PC，划分的四个子网只是在M0n0wall中有效，在网内各PC的子网掩码仍为255.255.255.0 网关为10.102.35.1，这与采用三层交换机划分Vlan不同。下面就M0n0wall流量控制的设置述说如下，建立8个管道分别为TCP管道4个，UDP管道4个。TCP带宽分别为4M，3M，3M，3M， UDP带宽1M；因为管道是动态分配的，即所有的管道最多占用所分配的带宽，一般来说，所有管道一起占用所分配的带宽的几率是非常低的，另外上网时许多用的是tcp协议，UDP协议用的较少，一般不会挤爆总的带宽，相反若用总的带宽去分配所用的管道则会大大降低网络的使用效率。如上图：是我所建立的8条管道。针对每个管道分别建立如下队列：TCP队列2个，“TCP下载”，权重：65，掩码:目的；“TCP上传” 权重35，掩码:源。UDP队列3个，“UDP下载”权重：55掩码:目的；“UDPQQ”权重30掩码:源；“UDP上传” 权重15，掩码:源。如图：这是针对第一对管道建立的五条队列。按此方法建立针对其它三对管道的五条队列。对063段建立规则：1. 队列：TCP下载， 接口：WAN，协议TCP，源地址（网络）：任意 端口：任意，目的地址：10.102.35.0/26 端口：（任意），方向：进2. 队列：TCP上传， 接口：LAN，协议TCP，源地址（网络）：10.102.35.0/26端口：任意，目的地址：任意 端口：（任意），方向：进3.队列：UDP下载， 接口：WAN，协议UPD，源地址（网络）：任意 端口：任意，目的地址：10.102.35.0/26 端口：（任意），方向：进4.队列：UDPQQ， 接口：LAN ，协议UPD，源地址（网络）：10.102.35.0/26 端口：任意 ，目的地址：（任意） 端口：（80008001），方向：进。5.队列：UDP上传，接口：LAN ，协议UPD，源地址（网络）：10.102.35.0/26 端口：任意，目的地址：（任意） 端口：（任意 ），方向：进。如图是对063网段进行流量控制的规则。一般来说，下载控制选择在WAN口，上传控制选择在LAN口,并请注意数据的进和出。对64-127段建立规则，和上面的大体相同，只是网络选用10.102.35.64/26，队列选用针对第二对管道的五条队列，对后面的两段建立规则方法按此类推。以上是我校M0n0wall流量控制设置，若是ADSL用户，网内电脑一般不多，在M0n0wall流量控制设置中，可对全网内的电脑统一进行流量限制，针对个别电脑进行流量设置，并生成相应的规则，并将该规则移到其它规则的前面，就可以了。因为M0n0wall对所列规则按顺序优先执行。若有特殊要求的单个计算机，可建立不同的管道和队列，基于此管道和队列生成规则，将该规则移到其它规则的前面，例如江油教体局正准备开通视频媒体系统需要UDP上传多点，就