公司网络因为历史原因,电信分配了三个固定IP,一个使用Router OS,供食堂的几台电脑上网,另个两个网关,提供了手工的负载分担,一个是ISA 2006,有60台电脑上网,一个是深信服AC 5100,用来做上网行为管理及网关,有40个用户上网。公司网速为10Mbps。前一段时间还好最近这一段时间可以上网的用户越来越多,然后还有100多台电脑需要使用EM软件以及外部263邮箱。还有部分用户使用P2P软件以及在线视频,导致网速特别慢,用户难以忍受。所以想到了做流量管理。

配置方法

一、针对ROS做流量控制

    ROS的流量控制,好早以前就做了,是因为食堂那些个人既要用公司网络接互联网,又不允许他们和公司在同一个IP段,所以单独分出来一个IP段给他们使用,两年前发现他们经常使用P2P,导致网络慢,所以就做了一个流量控制,限制每个IP

方法:使用winbox登陆,打开队列---队列列表,点“+”号,如下图:

clip_p_w_picpath002

这样就限制了每个用户下载速度为1024kbit/s,上传速度为256kbit/s。同时,在队列列表中,查看效果,可以看到用户的实时流量,限定速度以及总字节数等信息,如下图:

clip_p_w_picpath004

不过,对于那些高级的,比如突发、时间什么的就没有去研究了,总感觉ROS的这些规则不是很人性化,例如不能修改,只能禁用、启用、移除。

二、关于深信服AC的限速

这个产品,是深信服的上网行为管理,加上了×××功能,所以价格大约3W。当时也没有获取厂家的指导,自己摸索着做了几个组,针对每个组限制了不同的权限,比如网页组,基本上只允许看网页,QQ组允许网页、QQ,高级组允许除P2P以外的全部用户。所以这个网关上的用户实际上占用不了太多的流量,所以可以给他们相对较多的点的带宽。上行100KB/S,下行200KB/S。

深信服的流量管理如下:登陆AC,打开流量管理系统---流量管理。配置如下图,先是启用总的速率,再就是限制单个用户的最高带宽

clip_p_w_picpath006

三、针对ISA限制速率

ISA是MS的企业级软防火墙,据说可以用来跟硬件防火墙媲美的性能。能实现部分第七层过滤功能,但对于过滤QQ和BT之类的,还是效果不太明显。但这东西在不启用域名集的情况下还是算比较稳定。也就是这个东西,这段时间把我们给弄惨了。因为它不能过滤P2P的下载,经常会有人用它来下载或者在线看电影。让人伤神。终于下决定对它实行管理了。所用到的一个插件是BS,即bandwidth splitter,用于为ISA 2004/2006提供带宽管理的一个插件。

安装与使用方法,详见风间子的使用说明:http://www.isacn.org/info/info.php?sessid=&infoid=320。安装与使用相对来说也比较容易。先是进行安装,同意协议,一直点下一步即可完成,默认支持10用户。如果是付费或者破解,可以支持更多的用户。安装完成以后,进行两个规则设置,

第一个是限制用户的速率,我限制的是每用户1024Kbit/s。还有一个网页加速功能,即在一定时间间隔内打开一个网页,可以获取更高的访问速率,并持续特定的时间,这个由用户来定义。打开shaping rules ,新建rules,多话不说,上图:

1:定义名称

clip_p_w_picpath008

2.定义被管理的用户或者IP地址,这就是用来实现进行管理的对象集合了。此处我使用的时IP地址,添加一个计算机集,计算机集的对象是内网需要被管理的IP地址范围或者单个IP地址

clip_p_w_picpath010

3.指定目的地址为外部

clip_p_w_picpath012

所以,此处指定了需要被管理的源、目的,即这个规则怎样才会执行,需要符合从源到目的网络的流量才会执行管理。

4.计划,此处我选的默认,即一直生效

clip_p_w_picpath014

5.流量管理,有几个选项,控制进、出、进出总速率等。我控制的是总的速率,控制速率为1024Kbps,对于被缓存的内容不计算流量,启用了HTTP加速,在120S内,打开第一个网页可以获得2048Kbps的速率,并且可以持续5S的时间

clip_p_w_picpath016

6.再点下一步,是否控制连接数,此部我没做

clip_p_w_picpath018

7.规则的应用,默认是应用到每一个对象,即每个IP地址可以获取1024Kbps的速率,而那个distribute选项是说IP地址集里的所有对象共用1024Kbps的带宽。

clip_p_w_picpath020

8.是否将此规则的产生的流量放入流量统计里面,我没选勾,所以默认是放入流量统计里面的。

clip_p_w_picpath022

到此,这个速率控制规则完成了。

第二部,实施流量管控规则,我做的规则是控制每个用户每天的流量不超过500MB。

点击 quota rules,仍然是新建规则

clip_p_w_picpath024

clip_p_w_picpath026

clip_p_w_picpath028

注意:上图所示,对进站和出站的总流量控制为500MB,缓存的内容不计入总流量,重置的周期为1天,即在每天0点的时候将规则重置。

clip_p_w_picpath030

两个规则都完成了,相当于大学那种充的上网卡,即限制速率,又限制了流量。此处对用户流量限制为了1024kbps,网页峰值为2048kbps。每天的总流量为500MB。如果超过了500MB就会断网。

测试速率:此处在同一台机器上使用不同的网关地址,通过下载QQ软件来实现

一、ROS速率

ROS的话,限速效果达到了,但在实时下载速率上,显示出来的下载速率,差距较大。不过真实效果和配置效果一致。128 *8 =1024Kbps

clip_p_w_picpath032

二、深信服速率

深信服网关上下行流量控制为200KB,当然,只针对了特殊用户才允许下载EXE文件了。普通用户能下载的内容不多。

clip_p_w_picpath034

三、ISA 2006速率

此处限制速率为1Mbps,实测结果如下图所示,外层的图是我下载QQ的速率,为129KB/秒,折合成上网速率为1032Kbps.在BS的监控里看到流量为1024.9Kbps.和预期效果一致。

同时,可以在监控里看到连接数,即时速率以及近段时间流量产生的持续时间等信息。

clip_p_w_picpath036

而流量统计则可以看出一天来你产生了多少流量,如下图:每天限定500M,还剩余386.383M的流量

clip_p_w_picpath038

迅雷在ISA下的速率监控

clip_p_w_picpath040

 

ISA下面的客户端超过流量限制以后

Traffic quota limit reached

You have reached your traffic quota limit.

Please try the following:

  • Click the Refresh button, or try again later.
  • If you are still not able to view the requested page, try contacting your administrator.

Technical information:

  • Server: nat03.corun.com
  • Date: 2011-7-20 5:54:02 GMT

Powered by Bandwidth Splitter for ISA Server

今天对ISA进行了三个小时的监控,暂时没有发现异常,而ROS以及深信服AC已经经过了一年多到两年的使用,证明完全有效。如果BS使用不稳定或者达不到预期效果,我会再上传博客的。现在真是腰也不酸了,腿也不疼了。大家都有网可用啦!

 

 

 

使用live writer一上传就出现500错误,所以所有的内容都通过WORD再到WRITER里的,图片不清晰,清晰版我用WORD上传到附件了,有兴趣的可以下载看下!