pfsense下的流量管理(转)
http://www.pppei.net/blog/post/331
在作流量管理時(shí),這些概念很重要,不要迷失。。
這里再對(duì)Limiter 的源地址和目的地址做個(gè)說(shuō)明,因?yàn)閘imiter是被應(yīng)用在Lan接口的Rule里,相對(duì)pfsense來(lái)說(shuō),用戶(hù)發(fā)往 Lan口的流量為In,pfsense通過(guò)Lan口發(fā)給用戶(hù)的流量為OUT,因此限制上傳的limiter因該應(yīng)用在In方向,limiter的參照值應(yīng)該為“源IP”,下載的Limiter應(yīng)該應(yīng)用在OUT方向,因?yàn)槭寝D(zhuǎn)發(fā)給用戶(hù)的所以這個(gè)limiter的參數(shù)值應(yīng)該是“目的IP”。
?
另外,,,,策略路由,還有流控,就在LAN里作就OK了,,,但目前不很清楚它和FLOATING的差別。因?yàn)橥瑯佣紩?huì)生效呢。。難道FLOATING規(guī)則真的是為了不指定具體出口之類(lèi)的????
?
~~~~~~~~~~~~
流量管理
pfsense 有三種流量管理方法。
一是Queue,這種方式適合做QOS(服務(wù)質(zhì)量保證),對(duì)數(shù)據(jù)進(jìn)行分類(lèi),根據(jù)不同數(shù)據(jù)的不同特性,提供不同的服務(wù)質(zhì)量,比如IP電話(huà)的語(yǔ)音數(shù)據(jù),需要低網(wǎng)絡(luò)延時(shí),而某用戶(hù)的下載流量只關(guān)心總帶寬,這時(shí)就可以將ip電話(huà)的數(shù)據(jù)標(biāo)記出來(lái)放到低延時(shí)的隊(duì)列里,下載的流量放到只保證帶寬的隊(duì)列里,網(wǎng)關(guān)會(huì)用不同的算法轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包,達(dá)到預(yù)定的服務(wù)質(zhì)量。如果要實(shí)現(xiàn)對(duì)每個(gè)IP分別限速,就要為每個(gè)ip都建立一個(gè)隊(duì)列,然后將每個(gè)IP的數(shù)據(jù)對(duì)應(yīng)到唯這個(gè)隊(duì)列上;
二是使用Captive portal,這種方式更適合用在無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中,用戶(hù)需要打開(kāi)瀏覽器輸入用戶(hù)名密碼之后才能正常上網(wǎng),同時(shí)為每個(gè)用戶(hù)分配固定的帶寬。只要開(kāi)啟了Captive portal,即使關(guān)閉了認(rèn)證,也還是要打開(kāi)瀏覽器在彈出的頁(yè)面上點(diǎn)擊確定后才能上網(wǎng),用在有線(xiàn)環(huán)境里太影響用戶(hù)體驗(yàn),而且目前Captive portal 只有全局一個(gè)實(shí)例,2.1版可以針對(duì)不同的端口啟用不同的實(shí)例;
三是使用防火墻的高功特性(這種方法是根據(jù)IP地址分別進(jìn)行限速的)。在防火墻規(guī)則中限速有一個(gè)缺點(diǎn),限速和訪(fǎng)問(wèn)控制策略偶合在了一塊,失去了靈活性,配置的時(shí)候要謹(jǐn)慎一點(diǎn)不然可能會(huì)出現(xiàn)限速失效的情況,舉個(gè)例子,為說(shuō)明簡(jiǎn)單這里限速指的是下載限速:
①——-permit tcp any? to host 1.1.1.1 from lan————————
②——-permit any to any and speed limit 2M from Lan——
策略①中沒(méi)有做流量限制,②中每用戶(hù)的下載都限制在了2M。防火墻規(guī)則匹配是自上到下,匹配成功就不再向下進(jìn)行,因此去往1.1.1.1的流量匹配了第一條策略,沒(méi)做限速,第二條規(guī)則中的限速也就失效了。
另外再對(duì)速度做個(gè)說(shuō)明,同樣的策略在第一條上加上限速:
①——-permit?tcp any? to host 1.1.1.1?and speed limit at 2M from lan——-
②——-permit any to any and speed limit 2M from Lan——
去往1.1.1.1的流量還會(huì)匹配策略①,其它的流量匹配策略②,那么如果用戶(hù)同時(shí)有從1.1.1.1下載的流量和其它從其它地方下載的流量,從1.1.1.1下載.限制在2M,從其它地方下載也被限制在2M,因?yàn)槭峭瑫r(shí)產(chǎn)生的流量,所以加起來(lái)用戶(hù)得到了4M帶寬。其實(shí)結(jié)果并不是這樣的,在防火墻規(guī)則中限速時(shí)要先定義limiter,然后在規(guī)則中引用。內(nèi)部是這樣實(shí)現(xiàn)的,BSD的 PF(packet filter)沒(méi)有限速功能,定義出來(lái)的limiter其實(shí)是另一個(gè)防火墻實(shí)現(xiàn):IPFW中的組件,這個(gè)組件實(shí)現(xiàn)了限速,而且這個(gè)組件支持PIPE(管道)。PF中將匹配到的下載流量通過(guò)PIPE送到IPFW的Limiter中,limiter會(huì)根據(jù)定義時(shí)規(guī)定的參照值(源、目的ip,下載參照目的IP),為每個(gè)ip生成一個(gè)bukket,數(shù)據(jù)通過(guò)bukket的速度是它所屬Limiter的速率。回到上面的例子規(guī)則 ①②中下載2M的limiter為同一個(gè),同時(shí)匹配了兩條規(guī)則的數(shù)據(jù),通過(guò)PIPE被送到同一個(gè)Limiter中,這個(gè)limiter會(huì)根據(jù)目的ip生成一個(gè)BUKKET,這個(gè)bukket最大速度2M,用戶(hù)得到的帶寬最大也只是2M。如果規(guī)則①中使用了其它limiter比如下載3M的limiter,那么用戶(hù)最終得到的帶寬就是5M了。
實(shí)施方法前邊也都說(shuō)過(guò)了,很簡(jiǎn)單了Firewall ->Traffic Shaper -> limiter 下創(chuàng)建Limiter(需單獨(dú)為上傳下載創(chuàng)建limiter) ,然后在Firewall -> rule->Lan 規(guī)則的高級(jí)特性 In/Out 中應(yīng)用limiter。
這里再對(duì)Limiter 的源地址和目的地址做個(gè)說(shuō)明,因?yàn)閘imiter是被應(yīng)用在Lan接口的Rule里,相對(duì)pfsense來(lái)說(shuō),用戶(hù)發(fā)往 Lan口的流量為In,pfsense通過(guò)Lan口發(fā)給用戶(hù)的流量為OUT,因此限制上傳的limiter因該應(yīng)用在In方向,limiter的參照值應(yīng)該為“源IP”,下載的Limiter應(yīng)該應(yīng)用在OUT方向,因?yàn)槭寝D(zhuǎn)發(fā)給用戶(hù)的所以這個(gè)limiter的參數(shù)值應(yīng)該是“目的IP”。
還有人可能會(huì)有疑問(wèn)應(yīng)用在Lan口只是轉(zhuǎn)發(fā)給用戶(hù)的速度慢了,從Wan口進(jìn)來(lái)的流量一樣不受限制。這種想法是錯(cuò)的,因?yàn)門(mén)CP有流控機(jī)質(zhì),UDP的話(huà)就要看上層應(yīng)用的質(zhì)量了。
在應(yīng)用了新策略后,之前已經(jīng)建立的連接是不會(huì)受這些規(guī)則影響的,可能得不到你想要的效果,需要在Diagnostics->States -> reset status 下清理一下pfsense的狀態(tài),中斷用戶(hù)的連接,就能看到效果了。
如果你更習(xí)慣在命令行操作,給出一些常用命令,不用和web界面死磕了:
pfctl -sn?? #顯示nat規(guī)則
pfctl -sr ? #顯示filter規(guī)則
pfctl -sa? #顯示所有規(guī)則
pfctl -ss? #顯示防火墻狀態(tài)
pfctl -F nat #重置防火墻狀態(tài)(清空NAT狀態(tài)表)
ipfw pipe show #顯示limiter的狀態(tài)? 其中0000x 為limiter的編號(hào) BKT一列就是為每個(gè)ip分配的bukket編號(hào)
總結(jié)
以上是生活随笔為你收集整理的pfsense下的流量管理(转)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: android 蓝牙各种UUID(转载)
- 下一篇: yum安装最新的 LNMP