设为首页收藏本站网纵官网

网纵论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 40787|回复: 0
打印 上一主题 下一主题

[初级教程] 流控大师——策略管理--流量控制篇

[复制链接]
跳转到指定楼层
#
发表于 2014-4-6 19:23:05 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式
      这里给大家介绍流控大师——流量控制策略各个部分的含义,以及配置策略要注意的地方。


一、流控大师处理数据包的过程
这里我大致分成5个步骤,
1.数据包到达“接内网”或“接外网”的接口
2.识别引擎对数据包识别
3.根据识别情况对策略条件进行匹配
4.匹配条件后执行策略的动作
5.数据包从“接内网”或“接外网”的接口出去

二、流量控制策略
从图中可以看出,所有的策略都是属于步骤3、4范畴。下面就为大家详细介绍这两个步骤。
        流量控制位于策略管理页面,由策略组合策略调度两部分组成。
        策略组是若干策略的集合,默认无策略组,需自己建立,最多可以建立128个策略组,每个策略组可添加65535条策略(实际用不了这么多)。
        策略调度设置策略组的调度,只有调度了策略组,流量控制才会有效果。即时状态下只能使用1个策略组,或者无策略组,不能同时使用多个策略组。可根据在线人数,时间等条件来调度不同的策略组。


三、策略组中的策略。
1个策略组由若干条策略组成,每条策略分成三部分。
1)序号序号决定了策略组中若干策略执行的顺序,策略根据序号由小到大执行,序号的范围是1-65535。
        小技巧:每条策略的序号确定后是不能更改的,所以我们每条策略的序号间隔可以放大一些,这样方便策略与策略之间插入别的策略。根据我的经验来看1个策略组有10-20条策略已经基本能解决大不部分问题。复杂的策略也不超过100条,所以不必担心序号不够用。


2)匹配条件


       线路可以是网桥,可以是应用路由的wan口,也可以是多个wan口的群组。比如,选择了pppoe线路,那么只有走pppoe线路的数据包才会匹配这个条件。
  数据方向分上行和下行。上行指的是,从“接内网”的接口进来的数据包。下行指的是,从“接外网”的接口进来的数据包。
 内网地址数据包的源地址,一般都是内部私网地址。可填入某个IP或者某个IP段。比如,填入192.168.0.50-192.168.0.100,那么只有这个IP段的数据包才会满足匹配条件。
  内网端口数据包的源端口,可以是1个端口也可以是某范围,0表示所有。
  外网地址数据包的目的地址,一般都是Internet的公网IP。和内网IP一样,可填入某个IP或者某个IP段。作为数据包匹配条件之一。
  外网端口数据包的目的端口,可以是1个端口也可以是某范围,0表示所有。
  传输协议分TCP和UDP两种。一般使用任意,因为我们有更精细的应用协议。
     应用协议流控大师的协议识别引擎能分析数据包是来源于哪种应用程序,作为匹配策略最关键的条件之一。目前包含了822种网络应用,
  共享用户0表示不限制,当填入数字时,流控大师发现内网IP的共享用户 ≥这个数字时,就满足这个条件。
  移动终端流控大师可检测到数据包是否来自手机、平板电脑等移动终端。常用于非法接人网络的wifi手机。
  以上都是流控大师能从数据包中分析到的数据,这就是“策略匹配”的过程。当数据包经过分析后,匹配策略所有的条件时,就会执行这条策略的动作,即下面我们要说的执行动作。
3)执行动作


       执行动作总共有五种类型动作。常用的有三种,“允许”、“阻断”、选择“数据通道”。另外有两种动作“PROXY”和“包转发”只有在数据方向选择上行,并且有代理类型的线路(在应用路由--WAN线路添加的线路都属于代理类型的线路)时才会出现。这两个动作后期会移到应用路由--策略路由的模块上。这里不做详细介绍。
    选择允许允许匹配条件的数据包通过,到达“接内网”或“接外网”的接口。
    选择阻断丢弃掉匹配条件的数据包。
  选择某数据通道:允许匹配条件的数据包通过,可通过的流量为数据通道设置的值。在策略对象--->数据通道中添加通道,可以多条策略使用同一数据通道。多条策略通过的流量值会叠加在这个数据通道内。
    优先级在执行动作选择某数据通道后可设置。优先级是把进入同个数据通道的数据包进行排队,可填0-6,0表示不排队,1表示排在第一个,以此类推。
  优先级是一个复杂的系统,这里需要给大家详细说明:
        1)实现优先,首先得保证数据包能到达流控大师。如果数据包在到达流控大师之前就被丢弃掉了,再如何设置优先级都是没用的。所有首要条件就是控制带宽不满。比如20M的线路,那么就要控制实际使用的带宽小于20M。否则数据包可能就会被ISP的限速设备丢弃。
        2)每个数据通道是独立的,设置了优先级的数据包必须在同一个通道内,才能排队管理。
        3)优先级的是通过排队实现的。数据包排队后再被调度。通道满时,首先会丢弃优先级是0的数据包,因为0不排队。然后就会丢弃优先级低的数据包。
        4)每个优先级可以设置一个保证带宽,保证带宽是最优先被调度的。保证带宽之和不能大于通道值。每个优先级的带宽保证就像农民的土地,既是私有也是公有的。比如,通道20M迅雷的优先级是5,带宽保证6000K,当通道中没有迅雷的数据包,那么这6M就会成为公共队列的一部分,当迅雷的数据包进入通道时,首先使用带宽保证的6M,超出的部分会加入公共队列排队。
        5) 优先级对性能是有消耗的,数据包调度不及时,会造成延迟或丢包,即使通道没满。所以在大流量的环境下并不适用。建议使用优先级时,流量不超过200M。
  内网IP限速:对满足匹配条件的内网IP进行限速,超过设定值的流量会被抛弃,可填一个数值,也可填一个范围。当填入范围时,在参数设置->线路设置->启用动态限速,限速值会在这个范围内自动调控,没启用则为范围的最小值。
  动态限速是为了提升带宽使用率而设计的一套智能限速系统。下面介绍的是动态限速的过程和规则。


在策略管理->参数设置->线路设置中启用动态限速。当内网单IP限速是一个范围值时,策略限速值的起始值是范围的最小值。流控大师会实时监控每条线路的流量,当策略中选择的线路(线路不能选任意)的流量小于加速阀值(“线路默认带宽”×”带宽使用下限”)时。策略的限速值会根据一定频率(“速度维持时间”)和比例(“加速比”×限速范围最大值与最小值的差)进行加速,一直加速到最大值。当流量大于减速阀值(“线路默认带宽”×”带宽使用上限”)时,策略的限速值会马上减少到(当前速度ד减速比”),小于最小值则不减速。如果流量在两个阀值之间,策略限速值保持不变。
  DSCP标记:匹配条件中,数据方向选择上行时可设置,0表示不标记,有1-63个标记,一般是上级设备支持DSCP时使用,流控大师对满足条件的数据包打上DSCP标记后,上级设备可对不同的标记的数据包做不同策略。
  动作过后:策略会对满足匹配条件的数据包会立即执行所有的执行动作,选择停止匹配数据包到达“接内网”或“接外网”的接口。选择继续匹配,数据包又回到第三步“匹配策略”继续匹配策略组的策略,直到匹配到满足条件的停止匹配策略,或没有策略为止,然后到达“接外网”的接口。

四、策略调度


在任一时刻,只能有一个策略组生效。
系统先匹配策略调度表,如果没有匹配到表项,就使用缺省策略组。
策略调度也是编号数值,由小到大执行。可根据日期、时间、在线人数作为条件。当满足条件时,调度对应的策略组。日期和时间必须由小到大来安排,这个要注意。


五、写策略的技巧。
1)应用归类,把相似应用归到自定义协议组,比如迅雷,QVOD等一些持续下载的应用可以归到一个自定义协议组。
2)IP归类,建立不同的IP群组,对不同的群组做不同策略。
3)策略之间序号不要连续,间隔放大一些,方便插入别的策略。
4)上行和下行策略分开。
5)启用动态限速时,线路默认带宽应该填入线路实际能达到的带宽值。
6)通道大小不要大于实际带宽,应该比实际带宽略小。
7)关键应用不要放入通道,通道虽然有优先级,但通道也是一个限制。
8)通过上行控制下行,上行越小,下行越小,这个大家可以自己测试。


分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏3 转播转播 分享分享 支持支持 反对反对
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|网纵论坛 ( 粤ICP备12009713号  

GMT+8, 2024-11-28 06:08 , Processed in 0.032329 second(s), 29 queries .

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表