本文详细介绍了网络封包的概念及其在带宽管理中的作用,包括封包的构成、如何通过封包解析进行带宽管理,以及具体的带宽管理方法,如依据使用者、应用、内容和WAN口进行的管制。
| 1:了解地址、端口、内容、封包、路由器等概念,以下着重介绍一下封包: 网络内容传送时,为了确保传送过程安全及顺利,会将内容加以分割,并加上头尾信息,以封包形式传送。每个封包都有发送及目的地址、使用的端口、内容的大小及传送需要的信息。封包主要的目的是便利传送工作的分散处理,并确保传送工作依预期从发送地址依次转送到目的地址。因此只要能解开封包的内容就能了解该封包的相关信息。一般在进行带宽管理时,大多是透过解析封包的方式检查传输的相关信息。 总的来说,各种Internet应用的目的是要传送信息内容,但是为了有效传送,会将内容包装在封包中,通过IP地址及通信端口等机制将封包透过路由器在各个网络间转送。因此,若要有效地管理带宽,就必须查看封包的各种信息,并针对这些传输特性加以管理。(实例分析:一般用户在上网时,如浏览网页或收发邮件时,需要的带宽约为150Kbps~200Kbps,若以一条下行512Kbps的ADSL为例,十个人同时分享一条ADSL带宽上网时,响应速度可以接受。但由于一般用户所有人同时上网的机会不高,所以以这样的带宽一般可以满足30人以内的用户。 但是,当有大量下载时,一个用户就可以占去大部分带宽。根据测试,在一般的网吧环境中,一个BT用户可以占去的带宽往往高达2Mbps~5Mbps,一下子就占用了多条ADSL带宽。我们在给用户(例如小区、酒店及企业)提供支持时,常常发现用户抱怨上网突然“变卡”,收信上网都变得很慢,以为是路由器的问题,结果仔细查看包后,内部有人在进行BT下载或看网络电影的情况占到九成,影响其他人的正常作业。 需要注意的是,像BT这种下载程序,往往将上行及下行的带宽都占去,使得其他用户受到影响;又如看网络电影,每个用户都要占用约0.8Mbps,所以三五个用户就足以占用一条ADSL带宽。 另外,在协助用户做带宽管理时,常碰到的现象是:“带宽本来就是要给用户用的,为什么要限制呢?”殊不知许多情况往往是一个用户影响其他所有用户,在网吧或小区往往造成其他用户长期“喊卡”,而不再上门或要求退订。而针对特定的人进行限制,只是让少数人较为不方便,例如下载从几分钟变成一个小时,或更新补丁从几秒到几分钟) 2:管理带宽的方法(通过对路由器的设定): 依使用者或主机加以管制 可针对特定局域网或外部的主机进行管制。例如不允许内部某台主机上网、只允许某台主机上网或不允许网络用户联机外部某台主机等。这样的作法都是通过限制某个使用者或主机的方式进行管制。对局域网用户而言,以IP进行管制也不是完全没有缺点,有些用户会自行修改IP以逃避路由器的管制。事实上,每个网卡都有一个独一无二的MAC地址,一般用户很难更改,因此可通过“IP与MAC绑定”的功能,在分配IP时,某些MAC地址只能取得特定的IP。 依应用加以管制 也可以利用网络应用的端口加以管制。这就好比军事上针对特定频道加以干扰,破坏通信的例子一样。由于常见的应用往往都有特定的端口,因此只要找出对应的端口,在访问规则设定中进行允许或限制即可。除了常见的应用端口外,面对日新月异的应用,网管也可自行设定应用及对应端口,以简化日后设定的过程。 依内容加以管制 管理带宽最直接的作法就是针对传送内容进行管制,也就是不想传送什么内容就通过关键词或文件名进行管制。例如,在一些管制设定页面中,可以对网页内容进行管制设定,实际上是依网页内容所包含的字符串进行管制。 依WAN口加以管制 对于多WAN口路由器而言,也可透过不同WAN口的分配模式将带宽分配到不同的WAN口。目前多WAN口路由器都具有这个功能,例如侠诺科技产品可支持三种不同带宽分配模式:IP群组是将特定IP使用者指定到某个WAN口,好处是可将不同群组使用带宽进行分隔;IP负载均衡则是按局域网IP依次分派到不同WAN口,以平衡带宽的使用,它的好处是同一个IP存取流向都经由同一个WAN口,能适应不同应用的通信特性,不易出错;智能型负载均衡则是综合考虑应用、使用带宽、WAN流量以及IP分布,自动进行带宽的分布。 除了以上的管制方式外,还有其他方式也可以进行管理。例如在防火墙配置的访问控制规则设定中,每个规则都可设定指定的时间,例如网管可设定上班时间启动管制,在下班及休息时间不做管制。 3:应用于: 限定时间上网 有一所学校,在上计算机课程时,不希望学生因上网分心,所以希望在上课时间禁止学生上网,其他时间则不加限制。这种情况不仅仅在学校,在其他行业中也比较普遍。因为主要限制的手段是时间,并希望阻止所有的上网行为,因此可通过禁止所有通信端口服务来达到这个目的。采取的方法是,在对宽带路由器进行设置时,对时间管制一项可以设置成“从周一到周五的早上8点到下午6点”。 网页以外的服务都禁止 某公司由于工作需要,上班时间只允许员工访问网页,其他的上网行为都不允许。由于网页的传送是通过TCP/80端口传送的,因此可以通过只允许TCP/80端口来达到这个目的。具体设定的方法是,除了按照上条限定时间上网进行设置外,新增加禁止所有的封包通过防火墙,也就是说禁止上网,在此基础上,再新增加一条,即允许TCP/80端口的封包通过。这样就可以实现只能访问网页的目的了。需要注意的是:由于“规则”是从上向下执行的,所以要把禁止连接网络这条规则放在上,再把打开TCP/80端口规则放到下。当然也可以通过相似的设定,通过开放电子邮件收发所需要的相关端口,来允许电子邮件服务的实现。 禁止用户使用MSN 许多公司不希望员工上班时使用MSN。MSN Messenger可以使用端口1863直接进行TCP连接或使用80端口进行HTTP连接,从而与MSN服务器通信。因此,要禁止MSN就可以从阻止TCP/1863端口(方式和上面的类似)及阻止MSN访问msn.com和hotmail.com的域名着手。具体来讲,由于MSN提供Web方式,通过禁止对msn.com的HTTP访问即可。MSN还提供通过邮件服务器登录方式,也要禁止对hotmail.com的访问。阻止msn 访问msn.com和hotmail.com的域名的方法是,启动网页字符串管制,加入msn.com及hotmail.com即可。 防止用户使用BT 根据经验,一个BT用户往往可以占用2Mbps带宽,对于网吧、社区甚至企业网络都是一个很严重的问题。阻止BT可通过过滤BT种子实现,由于BT种子文件名称都有“.torrent”的字符串,所以可以利用这个特征加以过滤。设定方法为:启动网页字符串管制,新增输入要过滤的关键词“.torrent”即可 |
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-125012/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10294527/viewspace-125012/
扫一扫
3440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
