很多业务都依赖Internet,因此带宽资源使用往往经常出现困境,需要网管时时关注。对于一些依赖带宽提供服务的用户(如网吧、小区宽带、学校宿舍及ISP等),如果带宽不足,使用者上网不畅,也会抱怨频频。再加上现在有很多新兴应用,例如疯狂下载软件BT、迅雷,大量占用带宽,因此带宽的管理已成为现今大家关注的热点。本文以网吧为对象(也同样适用于小区宽带),分三期介绍如何有效地管理带宽。
认清原理
工欲善其事,必先利其器。身为管理者必须先了解Internet应用的一些基本观念,才能落实对应的管理。这里需要了解地址、端口、内容、封包、路由器等概念,这里着重介绍一下封包。
网络内容传送时,为了确保传送过程安全及顺利,会将内容加以分割,并加上头尾信息,以封包形式传送。每个封包都有发送及目的地址、使用的端口、内容的大小及传送需要的信息。封包主要的目的是便利传送工作的分散处理,并确保传送工作依预期从发送地址依次转送到目的地址。因此只要能解开封包的内容就能了解该封包的相关信息。一般在进行带宽管理时,大多是透过解析封包的方式检查传输的相关信息。
总的来说,各种Internet应用的目的是要传送信息内容,但是为了有效传送,会将内容包装在封包中,通过IP地址及通信端口等机制将封包透过路由器在各个网络间转送。因此,若要有效地管理带宽,就必须查看封包的各种信息,并针对这些传输特性加以管理。
实例说明
一般用户在上网时,如浏览网页或收发邮件时,需要的带宽约为150Kbps~200Kbps,若以一条下行512Kbps的ADSL为例,十个人同时分享一条ADSL带宽上网时,响应速度可以接受。但由于一般用户所有人同时上网的机会不高,所以以这样的带宽一般可以满足30人以内的用户。
但是,当有大量下载时,一个用户就可以占去大部分带宽。根据测试,在一般的网吧环境中,一个BT用户可以占去的带宽往往高达2Mbps~5Mbps,一下子就占用了多条ADSL带宽。我们在给用户(例如小区、酒店及企业)提供支持时,常常发现用户抱怨上网突然“变卡”,收信上网都变得很慢,以为是路由器的问题,结果仔细查看包后,内部有人在进行BT下载或看网络电影的情况占到九成,影响其他人的正常作业。
需要注意的是,像BT这种下载程序,往往将上行及下行的带宽都占去,使得其他用户受到影响;又如看网络电影,每个用户都要占用约0.8Mbps,所以三五个用户就足以占用一条ADSL带宽。
另外,在协助用户做带宽管理时,常碰到的现象是:“带宽本来就是要给用户用的,为什么要限制呢?”殊不知许多情况往往是一个用户影响其他所有用户,在网吧或小区往往造成其他用户长期“喊卡”,而不再上门或要求退订。而针对特定的人进行限制,只是让少数人较为不方便,例如下载从几分钟变成一个小时,或更新补丁从几秒到几分钟。
因此,不管是企业、网吧、小区、学校,都应将带宽视为一个重要的资源,只有加以适当管理才能发挥较大效用。下期给大家介绍有哪些工具可以进行带宽管理。
上篇报道中我们将不同应用对带宽的使用情况进行了详细介绍,本文主要介绍管理带宽的方法。带宽管理可从不同的角度来实现,例如以人为规范进行、以计算机是否可以上网进行,但最方便合理的还是通过对路由器的设定实现。因为路由器是局域网对外的网关,通过路由器管制往往可达到集中管理的效果。下面以路由器为出发点介绍较常见的带宽管理方式。
使用者或主机加以管制
可针对特定局域网或外部的主机进行管制。例如不允许内部某台主机上网、只允许某台主机上网或不允许网络用户联机外部某台主机等。这样的作法都是通过限制某个使用者或主机的方式进行管制。对局域网用户而言,以IP进行管制也不是完全没有缺点,有些用户会自行修改IP以逃避路由器的管制。事实上,每个网卡都有一个独一无二的MAC地址,一般用户很难更改,因此可通过“IP与MAC绑定”的功能,在分配IP时,某些MAC地址只能取得特定的IP。
应用加以管制
也可以利用网络应用的端口加以管制。这就好比军事上针对特定频道加以干扰,破坏通信的例子一样。由于常见的应用往往都有特定的端口,因此只要找出对应的端口,在访问规则设定中进行允许或限制即可。除了常见的应用端口外,面对日新月异的应用,网管也可自行设定应用及对应端口,以简化日后设定的过程。
内容加以管制
管理带宽最直接的作法就是针对传送内容进行管制,也就是不想传送什么内容就通过关键词或文件名进行管制。例如,在一些管制设定页面中,可以对网页内容进行管制设定,实际上是依网页内容所包含的字符串进行管制。
WAN口加以管制
对于多WAN口路由器而言,也可透过不同WAN口的分配模式将带宽分配到不同的WAN口。目前多WAN口路由器都具有这个功能,例如侠诺科技产品可支持三种不同带宽分配模式:IP群组是将特定IP使用者指定到某个WAN口,好处是可将不同群组使用带宽进行分隔;IP负载均衡则是按局域网IP依次分派到不同WAN口,以平衡带宽的使用,它的好处是同一个IP存取流向都经由同一个WAN口,能适应不同应用的通信特性,不易出错;智能型负载均衡则是综合考虑应用、使用带宽、WAN流量以及IP分布,自动进行带宽的分布。
除了以上的管制方式外,还有其他方式也可以进行管理。例如在防火墙配置的访问控制规则设定中,每个规则都可设定指定的时间,例如网管可设定上班时间启动管制,在下班及休息时间不做管制。
上期主要介绍了管理带宽的方法,下面用几个例子具体说明如何实现对带宽的管理。
限定时间上网
有一所学校,在上计算机课程时,不希望学生因上网分心,所以希望在上课时间禁止学生上网,其他时间则不加限制。这种情况不仅仅在学校,在其他行业中也比较普遍。因为主要限制的手段是时间,并希望阻止所有的上网行为,因此可通过禁止所有通信端口服务来达到这个目的。采取的方法是,在对宽带路由器进行设置时,对时间管制一项可以设置成“从周一到周五的早上8点到下午6点”。
网页以外的服务都禁止
某公司由于工作需要,上班时间只允许员工访问网页,其他的上网行为都不允许。由于网页的传送是通过TCP/80端口传送的,因此可以通过只允许TCP/80端口来达到这个目的。具体设定的方法是,除了按照上条限定时间上网进行设置外,新增加禁止所有的封包通过防火墙,也就是说禁止上网,在此基础上,再新增加一条,即允许TCP/80端口的封包通过。这样就可以实现只能访问网页的目的了。需要注意的是:由于“规则”是从上向下执行的,所以要把禁止连接网络这条规则放在上,再把打开TCP/80端口规则放到下。当然也可以通过相似的设定,通过开放电子邮件收发所需要的相关端口,来允许电子邮件服务的实现。
禁止用户使用MSN
许多公司不希望员工上班时使用MSN。MSN Messenger可以使用端口1863直接进行TCP连接或使用80端口进行HTTP连接,从而与MSN服务器通信。因此,要禁止MSN就可以从阻止TCP/1863端口(方式和上面的类似)及阻止MSN访问msn.com和hotmail.com的域名着手。具体来讲,由于MSN提供Web方式,通过禁止对msn.com的HTTP访问即可。MSN还提供通过邮件服务器登录方式,也要禁止对hotmail.com的访问。阻止msn 访问msn.com和hotmail.com的域名的方法是,启动网页字符串管制,加入msn.com及hotmail.com即可。
防止用户使用BT
根据经验,一个BT用户往往可以占用2Mbps带宽,对于网吧、社区甚至企业网络都是一个很严重的问题。阻止BT可通过过滤BT种子实现,由于BT种子文件名称都有“.torrent”的字符串,所以可以利用这个特征加以过滤。设定方法为:启动网页字符串管制,新增输入要过滤的关键词“.torrent”即可。
由以上几个例子可以看出,只要了解各种应用的工作原理以及需要设定的项目,复杂的管制工作也会变得很容易。
下载中心
先飞电脑技术网 →
技术文章