Panabit策略管理--关于流量控制策略配置详解
Panabit策略管理--流量控制篇这里给大家介绍Panabit流量控制策略各个部分的含义,以及配置策略要注意的地方。有不理解的可跟帖提问,有好的策略思路也可在这里分享。我们会不断完善Panabit-tips,让Panabit更好的为用户服务。
一、Panabit处理数据包的过程
这里我大致分成5个步骤,
1.数据包到达“接内网”或“接外网”的接口
2.识别引擎对数据包识别
3.根据识别情况对策略条件进行匹配
4.匹配条件后执行策略的动作
5.数据包从“接内网”或“接外网”的接口出去
二、流量控制策略
从图中可以看出,所有的策略都是属于步骤3、4范畴。下面就为大家详细介绍这两个步骤。
流量控制:位于策略管理页面,由策略组合策略调度两部分组成。
策略组:是若干策略的集合,默认无策略组,需自己建立,最多可以建立128个策略组,每个策略组可添加65535条策略(实际用不了这么多)。
策略调度:设置策略组的调度,只有调度了策略组,流量控制才会有效果。即时状态下只能使用1个策略组,或者无策略组,不能同时使用多个策略组。可根据在线人数,时间等条件来调度不同的策略组。
三、策略组中的策略。
1个策略组由若干条策略组成,每条策略分成三部分。
1)序号。序号决定了策略组中若干策略执行的顺序,策略根据序号由小到大执行,序号的范围是1-65535。
小技巧:每条策略的序号确定后是不能更改的,所以我们每条策略的序号间隔可以放大一些,这样方便策略与策略之间插入别的策略。根据我的经验来看1个策略组有10-20条策略已经基本能解决大不部分问题。复杂的策略也不超过100条,所以不必担心序号不够用。
2)匹配条件
线路:可以是网桥,可以是应用路由的wan口,也可以是多个wan口的群组。比如,选择了pppoe线路,那么只有走pppoe线路的数据包才会匹配这个条件。
数据方向:分上行和下行。上行指的是,从“接内网”的接口进来的数据包。下行指的是,从“接外网”的接口进来的数据包。
内网地址:数据包的源地址,一般都是内部私网地址。可填入某个IP或者某个IP段。比如,填入192.168.0.50-192.168.0.100,那么只有这个IP段的数据包才会满足匹配条件。
内网端口:数据包的源端口,可以是1个端口也可以是某范围,0表示所有。
外网地址:数据包的目的地址,一般都是Internet的公网IP。和内网IP一样,可填入某个IP或者某个IP段。作为数据包匹配条件之一。
外网端口:数据包的目的端口,可以是1个端口也可以是某范围,0表示所有。
传输协议:分TCP和UDP两种。一般使用任意,因为我们有更精细的应用协议。
应用协议:Panabit的协议识别引擎能分析数据包是来源于哪种应用程序,作为匹配策略最关键的条件之一。目前包含了822种网络应用,
共享用户:0表示不限制,当填入数字时,Panabit发现内网IP的共享用户 ≥这个数字时,就满足这个条件。
移动终端:Panabit可检测到数据包是否来自手机、平板电脑等移动终端。常用于非法接人网络的wifi手机。
以上都是Panabit能从数据包中分析到的数据,这就是“策略匹配”的过程。当数据包经过分析后,匹配策略所有的条件时,就会执行这条策略的动作,即下面我们要说的执行动作。
3)执行动作
执行动作:总共有五种类型动作。常用的有三种,“允许”、“阻断”、选择“数据通道”。另外有两种动作“PROXY”和“包转发”只有在数据方向选择上行,并且有代理类型的线路(在应用路由--WAN线路添加的线路都属于代理类型的线路)时才会出现。这两个动作后期会移到应用路由--策略路由的模块上。这里不做详细介绍。
选择允许:允许匹配条件的数据包通过,到达“接内网”或“接外网”的接口。
选择阻断:丢弃掉匹配条件的数据包。
选择某数据通道:允许匹配条件的数据包通过,可通过的流量为数据通道设置的值。在策略对象--->数据通道中添加通道,可以多条策略使用同一数据通道。多条策略通过的流量值会叠加在这个数据通道内。
优先级:在执行动作选择某数据通道后可设置。优先级是把进入同个数据通道的数据包进行排队,可填0-6,0表示不排队,1表示排在第一个,以此类推。
优先级是一个复杂的系统,这里需要给大家详细说明:
1)实现优先,首先得保证数据包能到达Panabit。如果数据包在到达Panabit之前就被丢弃掉了,再如何设置优先级都是没用的。所有首要条件就是控制带宽不满。比如20M的线路,那么就要控制实际使用的带宽小于20M。否则数据包可能就会被ISP的限速设备丢弃。
2)每个数据通道是独立的,设置了优先级的数据包必须在同一个通道内,才能排队管理。
3)优先级的是通过排队实现的。数据包排队后再被调度。通道满时,首先会丢弃优先级是0的数据包,因为0不排队。然后就会丢弃优先级低的数据包。
4)每个优先级可以设置一个保证带宽,保证带宽是最优先被调度的。保证带宽之和不能大于通道值。每个优先级的带宽保证就像农民的土地,既是私有也是公有的。比如,通道20M迅雷的优先级是5,带宽保证6000K,当通道中没有迅雷的数据包,那么这6M就会成为公共队列的一部分,当迅雷的数据包进入通道时,首先使用带宽保证的6M,超出的部分会加入公共队列排队。
5) 优先级对性能是有消耗的,数据包调度不及时,会造成延迟或丢包,即使通道没满。所以在大流量的环境下并不适用。建议使用优先级时,流量不超过200M。
内网IP限速:对满足匹配条件的内网IP进行限速,超过设定值的流量会被抛弃,可填一个数值,也可填一个范围。当填入范围时,在参数设置->线路设置->启用动态限速,限速值会在这个范围内自动调控,没启用则为范围的最小值。
动态限速是为了提升带宽使用率而设计的一套智能限速系统。下面介绍的是动态限速的过程和规则。
在策略管理->参数设置->线路设置中启用动态限速。当内网单IP限速是一个范围值时,策略限速值的起始值是范围的最小值。Panabit会实时监控每条线路的流量,当策略中选择的线路(线路不能选任意)的流量小于加速阀值(“线路默认带宽”×”带宽使用下限”)时。策略的限速值会根据一定频率(“速度维持时间”)和比例(“加速比”×限速范围最大值与最小值的差)进行加速,一直加速到最大值。当流量大于减速阀值(“线路默认带宽”×”带宽使用上限”)时,策略的限速值会马上减少到(当前速度ד减速比”),小于最小值则不减速。如果流量在两个阀值之间,策略限速值保持不变。
DSCP标记:匹配条件中,数据方向选择上行时可设置,0表示不标记,有1-63个标记,一般是上级设备支持DSCP时使用,Panabit对满足条件的数据包打上DSCP标记后,上级设备可对不同的标记的数据包做不同策略。
动作过后:策略会对满足匹配条件的数据包会立即执行所有的执行动作,选择停止匹配数据包到达“接内网”或“接外网”的接口。选择继续匹配,数据包又回到第三步“匹配策略”继续匹配策略组的策略,直到匹配到满足条件的停止匹配策略,或没有策略为止,然后到达“接外网”的接口。
四、策略调度
在任一时刻,只能有一个策略组生效。
系统先匹配策略调度表,如果没有匹配到表项,就使用缺省策略组。
策略调度也是编号数值,由小到大执行。可根据日期、时间、在线人数作为条件。当满足条件时,调度对应的策略组。日期和时间必须由小到大来安排,这个要注意。
五、写策略的技巧。
1)应用归类,把相似应用归到自定义协议组,比如迅雷,QVOD等一些持续下载的应用可以归到一个自定义协议组。
2)IP归类,建立不同的IP群组,对不同的群组做不同策略。
3)策略之间序号不要连续,间隔放大一些,方便插入别的策略。
4)上行和下行策略分开。
5)启用动态限速时,线路默认带宽应该填入线路实际能达到的带宽值。
6)通道大小不要大于实际带宽,应该比实际带宽略小。
7)关键应用不要放入通道,通道虽然有优先级,但通道也是一个限制。
8)通过上行控制下行,上行越小,下行越小,这个大家可以自己测试。 谢谢分享,说得很清楚。 单IP 限速好像没有说到 ros001 发表于 2014-4-19 22:04
单IP 限速好像没有说到
内网IP限速就是单IP限速。 好文章啊。。。只是还需要仔细咀嚼。。。 如果接口选择群组的话,带宽是把群组中各链路的带宽累加么? 单独给一个内网开无限制网速是不是就按照上面说的添加一个策略就可以了?如何单独给一个内网IP开UPnp? 受益良多。 希望多出些这类的教程 学习了!! 你好,你这个是不是专业版来的,参数设置,线路设置在标准版找了老半天找不到
页:
[1]
2