初学PA策略配置

剑晖

　　单位网络带宽10M，经交换机后分为三条线路，其中两路直接连接重要部门两台电脑，第三条线路进服务器，服务器安装透明网关，负责单位其它一般电脑上网。
　　服务器采用两块100M网卡，部署了文件服务器、内部网页服务器等应用。
　　对于管理员IP放行；限制一般电脑的P2P、网络视频等的上传和下载，使之不影响另外两条线路的使用；限制随意修改IP，作出限流；对于内部的网站和外部的重要网站放行；确保一般网页能流畅打开；对于未知的流量采取限制；对于FTP、常用协议放行。
　　不同时段采取不同策略，具体要限制的协议可以直接在自定义协议组修改，繁忙时可以手动设置为“繁忙时间（手动）”策略。
　　由于需求比较特别，策略的制定也要体现人性化管理，着实费了一些功夫。我使用PA时间较短，参考了很多帖子的策略配置方法，有不足之处希望大家多提宝贵意见。
[localimg=717,2946]1[/localimg]

Lucifer

将你的策略清空

设置管理员ip放行

然后阻断p2p，阻断nettv。

就可以达到目的了


标准版从10.05起停止支持子项的单ip限速管理功能。所以很遗憾的告诉你策略无效。

剑晖

[ 本帖最后由 剑晖 于 2010-5-7 15:17 编辑 ]

tskpzjzx

能不能把这个策略文件发布出来呀。

37D5D

1、不同的网络结构、应用、管理制度、对PA的不同层次、角度、方向理解就有个人不同策略偏好。同时体现了PA的强大与策略的灵活。
（就不评价与讨论具体的策略了）
2、无论企业管理从企业形象，还是机关、政府机构从服务形象、效能都有相类似处，但与网吧的管理应当有点区别。
网吧：是带宽的最大化利用，达到投资回报的最大化。是疏导与均衡，限制非理性客户霸占流量，确保网络流畅。不流失各类偏好客户。
办公：是“阻断”与“通行”两极端，阻死不该的信息流，畅通办公信息流。与带宽利用效率金钱无关。
3、办公网络真掌控好了P2P等性质的下载（特别是上传）、在线流媒体等。带宽使用是很低的，有多大必要单IP限速？？？
4、IP群组是个好东西
就办公网络与使用标准版，个人认为“群组”更有价值。
多建立不同的IP群组，群组是个好东西。
在单位擅自修改网络参数和计算机设置，乱安装软件是管理员最头疼的事情。在这方面单位网络比网吧还网吧！
“限制修改IP”群组，我戏称为“不乖的IP”群组。谁个IP不乖就进“不乖的IP”群组。策略-阻断。
5、人为赋予IP使之有"意义"
即使由于网络因为各种原因难于改造，如划vlan，什么IP与MAC绑定不成。
但基于定点定位的计算机应当分配固定IP，并且在该网段见IP就能定位计算机。
如在192.168.1.2~254，充分利用末尾的三位，人为赋予楼号房间号机器号等。
在各群组中IP一个一个输入（其实单击一个只要修改最后），今后想加谁加谁，想删除谁就删除谁。
最大好处在admin群组加要维护的计算机IP方便自己。
6、最好启用伪IP防护，同时与“限制修改IP”群组技巧结合限制未使用的IP。
7、三类控制方式综合使用，实现“阻断”与“通行”。
8、仅仅有技术是不成的
脱离管理制度谈“人性化管理”太天真、太搞笑。
必然养成非工作时间挂机、下载不关闭计算机等行为。对下载与媒体工具整个网络最好限制为某款统一软件。
管理办公网不比管理网吧容易，后者首显技术性，前者人文性（人际），办公网控制的目的与期望目标依赖BOSS。
9、最好不消耗太多的精力去探究标准版，我们需要的是功能、速度、升级与其他技术支称，同时尊重研发者的智慧。
10、认真标志网线头和其他设备接口功能，应对不测；最好熟练远程操作放火墙（或者路由），有网络的地方就能管理自己管理的网，就能临时开放（关闭）PANABIT的HTTPS，远程管理、调试与维护PA，将自己解放出来。
个人之见。
补充Q是工作群QQ

[ 本帖最后由 37D5D 于 2010-7-9 12:58 编辑 ]

tskpzjzx

基本同意楼上的观点
但单ip限速还是必要的，对于“不乖的ip”，把他停掉，那样做太直接了，不如用限速来收拾他

snacas

明显的5楼在单位比较强势，而我们这些打杂的，就只能背后偷偷限速的。

flyfreely

学习了不少大神们的配置案例。有点始终没想明白，有些策略分别限制网桥上行/下行，为什么不直接合并成一条做成网桥双向呢？

分开做有什么区别吗，还是为了方便后期修改策略？ 了解的回复一下，谢谢！

rockrock99

对称网络就不用分上下行、像ADSL这样的非对称网络，必须分开上下行来搞