百为流控 配置八步骤.docx
《百为流控 配置八步骤.docx》由会员分享,可在线阅读,更多相关《百为流控 配置八步骤.docx(22页珍藏版)》请在冰豆网上搜索。
百为流控配置八步骤
百为配置八步骤
图片分享:
配置百为流控只需要依次的按照以上的八个步骤来检查即可,完成配置也非常简单,通常配置好一个百为流控路由只需要几分钟的时间.
∙第一步:
网络接口配置
∙第二步:
分流配置
∙第三步:
智能带宽配置
∙第四步:
策略带宽配置
∙第五步:
连接数限制的配置
∙第六步:
IP-MAC绑定配置
∙第七步:
模块开关配置
∙第八步:
进程对象配置
以下是对每一步骤配置的详细说明
第一步:
网络接口配置
接口配置是百为流控的最基本的配置也是最重要的配置,路由器上网第一步就需要做接口配置.
通过管理界面的菜单【网络配置】》【网络参数】》【接口配置】进入到接口配置的界面,如下图:
图片分享:
以上截图上面对一些不易理解的参数进行了简单标注,下面是更详细的配置参数的解释
接口名称:
接口名称是系统根据网口的顺序或者输入的ID自动生成的名称,共有4种接口名称,分别是ethn(物理接口),ethn.n(通过物理接口接VLAN交换机拓展的VLAN接口),ethn-n(物理接口接交换机拓展的虚拟子接口),pptpn(VPN接口)
接口别名:
接口别名提供更大信息量的对接口的标识与备注,便于在其他配置项,比如在分流规则配置、策略带宽配置项的时候,需要选择很多个接口的时候,容易很快区分出哪个接口是什么线路.
启用禁用:
启用禁用是对接口的一个开关,比如需要临时中断某条线路上面的所有网络业务,就可以临时禁用。
或者有一些多余的接口不需要使用,也可以禁用。
接口类型:
任何一种接口(除了VPN接口)都可以被指定成内网口或者外网口。
也就是,通过交换机拓展物理接口出来的虚拟子接口,也可以被定义成内网口或外网口。
通过这种方式可以实现所谓的"单臂路由"技术(即在一个网络接口做路由)
外网口配置:
支持国内的常见3种接入互联网的方式,基本配置参数和主流路由器是一样的。
百为流控增加了一些高级参数用于智能流控与智能分流功能模块.
DNS配置:
百为流控路由可以配置4个DNS服务器地址,通常运营商只会提供2个DNS服务器地址,而DNS服务器故障是常常有发生的,通过配置更多2个备用DNS地址能够减少因DNS服务器故障而造成的无法上网现象.
百为流控路由会计算每个DNS服务器的解析成功率来动态的选择最优的DNS服务器进行DNS解析
防御信息检测:
防御信息检测可以防御运营商对接入线路下的终端数量的检测,有2种模式,您需要自己选择模式一一尝试
Ping检测IP:
通过ping一个固定IP的获取返回结果的方式来判断当前的线路的质量的好坏,用于智能多线分流、负载均衡.
默认填写0.0.0.0的时候系统会选择ping外网口的网关,但是有一些ISP运营商的网关会忽略ping包的请求,也就是禁ping了,这种情况下,您需要自己选择一个稳定的IP地址做为Ping检测IP.
SYN检测IP:
系统会通过SYN请求配置的"SYN检测IP"的方式来判断当前线路的网络是否还在线(即判断网络是否掉线了),是检测线路是否在线的另一种方式,双保险.
这个IP地址也需要填写一个稳定的不会掉线的IP地址,比如外网口的网关地址,或当地的DNS服务器地址.
禁止P2P:
该选项是给一些特殊的外网线路所用的,比如游戏专线,用户要求该线路上只允许走游戏,任何P2P应用都不能走。
开启该开关就可以禁止所有的P2P应用.
注意:
禁止P2P选项需要客户端的配合,因为百为流控路由是通过客户端的方式来识别应用而不是在网关做大量的计算分析来识别应用的.
WEB带宽保证:
WEB带宽保证是通过给"WEB应用"设置固定的保证带宽来避免P2P应用占用"WEB应用"的带宽。
这里的"WEB应用"是泛指除了P2P应用之外的应用,包括游戏、网页、网页视频等.
这个配置是保证所在接口的网页、游戏带宽,根据这个配置的值压制P2P应用的带宽。
AD线路,推荐为上行3KB,下行5~30KB,
在光纤线路推荐上行30~50KB,下行50~100KB;
注意:
这里对P2P应用的压制是不需要客户端的,不安装客户端也会起作用,如果安装了客户端对P2P的识别会更好。
如果线路要跑P2P的应用,这个值不能配置过大,如果配置的过大,会导致在带宽紧张的时候,P2P被压制的无法获得带宽,造成P2P视频无法观看或者不够流畅。
带宽配置:
这里的上行带宽、下行带宽是指该条线路的总带宽,单位是KB(千字节),而一般运营商所指的带宽单位是bit(比特,二进制位)
通过点击带宽配置下面的参考值链接,系统会字段换算.
小常识:
1字节=8bit
ADSL宽带的上行带宽与下行带宽是不对等的,通过电话线拨号的ADSL宽带的理论上行值是512Kbit,即64KB
接口配置-高级配置
图片分享:
工作模式:
工作模式只对物理接口有用,通常不需要配置这里,即用“自协商”即可。
遇到一些特殊的外接网络设备或不兼容的网络情况,需要指定工作模式
TCPMSS
TCP协议的最大分片大小,这个值通常在ADSL线路上配置为1440,在光纤线路上配置为1460.
MTU
最大传输单元,通常采用默认值1500即可.
自定义MAC
可以自定义接口的MAC地址,在一些场景下有用,比如外网线路上运营商对您的接入MAC地址进行了绑定的时候,
还有比如客户端都对网关的MAC地址做了静态绑定的时候,可以采用自定义MAC地址,将您原来的路由器的MAC地址复制过来.
接口配置-VLAN接口
图片分享:
通过将接在物理接口上面网线另一端接入到VLAN交换机上面,可以通过VLAN交换机将交换机上的其他接口都拓展成为外网口(或者内网口)
添加VLAN接口只需要添加一个VLANID即可,其余的配置与上面的接口配置是一样的.
支持批量添加VLAN接口
BV100不支持VLAN拓展接口功能
接口配置-子接口
图片分享:
子接口是另外一种将一个物理接口拓展成多个外网口(或内网口)的实现方式,只需要普通交换机就可以实现。
添加子接口的方式也很简单,只需要输入一个接口ID即可,其余的配置与上面的接口配置是一样的.
支持批量添加子接口
BV100不支持子接口拓展功能
接口配置-VPN接口
图片分享:
VPN接口也是一种虚拟出来的接口,是在现有的外网线路上添加的(只要是外网线路就可以,无论是物理接口还是虚拟接口VLAN接口).
VPN接口的配置参数,需要填入VPN服务器的IP地址以及VPN拨号的用户名与密码
其他参数与外网口的配置参数一样.
实际上,VPN接口配置成功之后,在其他功能上面就和外网口是一样的,在VPN接口上面一样的支持智能流控、策略带宽、分流.
VPN服务器必须是百为流控的设备
接口配置-批量保存,接口配置克隆
图片分享:
百为流控路由支持最多180条外网线路,当接口数量多的时候,配置起来就会麻烦。
通过接口配置克隆方法就可以快速的进行批量接口配置.
接口配置克隆可以将当前正在编辑的接口的配置项选择性的克隆到其他选定的接口上面.
第二步:
分流配置
如果您只有一条外网线路,不需要配置任何分流。
在多线路环境下,通过配置分流规则,可以实现多条线路的自动负载均衡,带宽叠加。
通过管理界面的菜单【流量控制】》【多线分流】》【分流规则】进入到多线接口分流配置的界面,如下图:
图片分享:
分流的简单描述:
当内网有一个数据包要发送到外网的时候,系统会依据数据包的信息(比如源地址、目的地址、所属应用等)去分流规则里面一条条的匹配,直到匹配成功,才决定将该数据包从哪条外网线路出去.
因此:
∙分流规则是有顺序的,排在最前面的规则优先级最高.
∙必须配置一条默认的分流规则.(就是,当前面的所有条件都不符合的时候走默认线路)
为什么必须配置默认
因为用于作为条件判断的基础库,比如ISP对象的路由表以及应用识别的进程库都不可能做到100%准确,如果不配置默认线路那么匹配不到分流规则的数据包就默认走第一个外网口出去.
受控对象:
受控对象是指定该条规则针对哪些内网IP的,即源地址。
在选择受控对象的时候,可以按IP地址、用户、级别、部门等为条件进行筛选过滤,快速选择.
如果不限制受控对象,针对所有的内网IP,那么就选择按地址,下拉选择ANY。
时间对象:
分流规则有时效性,在不同的时间段可以配置不同的分流规则.如果不启用时间为条件,选择ANY.
端口对象:
以目的端口为条件来进行分流,如果不启用端口为条件,选择ANY.
ISP对象:
以目的地址所在的ISP机房为条件来进行分流,比如联通、电信。
如果不启用ISP条件,选择ANY.
ISP对象是通过路由表来进行定义的,路由表需要经常更新,您还可以自己定义自己的“特殊”的ISP(指将一些特殊的IP地址归纳到一个ISP对象)来实现特殊的分流需求。
应用:
以应用为条件来进行分流,如果不启用应用分流,选择ANY。
应用分流必须安装客户端。
分流模式:
IP分流模式是指以源IP地址为大条件的约束方式来分流,同一个IP地址不会被分流到2条线路上.对一些利用源IP地址来进行身份识别的应用,必须采用IP分流的模式,否则会造成应用无法使用或中断。
比如网上银行的应用。
会话分流模式是以会话为最小条件来分流,即同一个IP地址,同一个应用发出的不同的数据包,会被分散到不同的外网线路出去。
简单来说:
IP分流保证用户“不掉线”,会话分流能最大程度的带宽叠加,绝大多数情况下都可以采用会话分流,只有少数应用需要用IP分流
线路权重:
当有多条线路的时候,进行带宽均衡叠加的时候,怎样叠加,权重就是计算的一个参数值,一条线路设置的权重值越大,被分配的数据包就越多。
当所有线路的权重都是一样的时候,系统会自动以线路的总带宽为权重,来进行均衡分配,而不是平均分配。
所以通常情况下是不需要特别设置权重值的,只有当用户想人为的让某条线路或某些线路相对多的活着相对少的负载一些数据的时候,可以通过设置权重值来达到要求。
更详细的分流请参见:
多线分流规则详解:
怎样分流才合理
第三步:
智能带宽配置
百为流控路由在每条外网线路上都可以单独的开启智能流控算法,通过对过往的数据包进行合理的优先级的队列算法以及通过不同的应用建立数学模型的方式来保证IP的公平性,以及应用之间的公平性从而确保线路上不会出现拥堵.
配置智能带宽只需要开启一个开关,是最简单的一个配置,界面如下图:
图片分享:
如果对有一些IP不想进行智能流控,还可以配置智能流控例外规则,如下图
图片分享:
注意:
配置例外规则的IP需要配置单独的策略带宽限制规则.
第四步:
策略带宽配置
策略带宽配置是通过制定带宽策略(每条线路上,允许上行多少、下行多少;总带宽限制多少,WEB保证带宽多少),再通过策略带宽规则将这些策略以时间为条件应用到指定的受控对象(IP地址、用户、部门、级别).
关于对象、策略、规则之间的关系,请参见:
理解百为流控的对象、策略、规则
配置策略带宽分两步:
1.策略定义
2.控制规则
通过管理界面的菜单【流量控制】》【带宽控制】》【策略带宽控制】进入到策略带宽配置的界面,如下图:
图片分享:
策略名称:
给策略起一个名字,以区分多条策略,比如4M带宽,服务器限速等等自己好理解记忆的名字。
接口带宽限制:
可以给每一条外网线路都设置一个上行限制,下行限制的带宽值,默认是不限制。
如果是希望在特定的某条线路上限制带宽,就需要配置接口带宽限制了。
否则只需要配置总带宽限制即可.
总带宽限制:
这里的总带宽限制是,策略带宽控制规则里面定义的受控对象(IP地址、用户、级别、部门)对外的总出口带宽值(所有线路上加起来的带宽)
WEB带宽保证:
是指在总带宽的基础上,有多少带宽是专门用于“WEB应用”的,这里的"WEB应用"也是泛指除了P2P之外的应用包括(网页、游戏、网页视频等),通过设置WEB带宽保证,可以压制用户的P2P应用。
关于WEB带宽保证,可以参见前面第一步里面接口配置里的,接口上的“WEB带宽保证”的配置说明:
点击前往
例外上行与例外下行:
如果想把某些线路上的流量不计入该策略的总带宽的话,可以在该线路上勾选例外。
比如:
光纤+AD的混合环境,如果光纤的带宽足够大,不想限制用户在光纤上的带宽上的上行,就可以勾选例外上行.
注意:
如果例外了上行或下行,那么应用了该条策略的受控对象(IP地址、用户、级别、部门)最终的总带宽理论值将比策略带宽的总带宽值要大
定义完策略之后,如果不定义规则那是没有任何效果的,还需要定义策略带宽控制规则,如下图
图片分享:
规则告诉路由器对哪些IP在什么时间段运用哪条策略来限制带宽
关于如何合理的配置策略带宽,您可以阅读:
带宽配置详解:
该怎样配置带宽规则
第五步:
连接数限制的配置
连接数控制是用来限制单用户(即:
单台PC)的最大连接数的,限制连接数的目的,主要是为了防止病毒疯狂扫描连接,占用路由器的连接资源。
通过管理界面的菜单【流量控制】》【连接控制】进入到连接数控制规则界面,如下图
图片分享:
连接数限制规则对受控对象(IP、用户、级别、部门)在指定时间段内限制UDP,TCP连接分别最大连接数多少,超过的连接将直接丢弃.
注意:
连接数不要限制的太小,否则会造成用户上网慢,甚至无法打开网页的,推荐的最大连接数是TCP和UDP连接各3000
第六步:
IP-MAC绑定配置
通过配置IP-MAC绑定,可以防范欺骗网关的ARP病毒,所以在采用IP地址认证上网的用户环境下(比如网吧、企业),是需要配置IP-MAC绑定来防范ARP病毒攻击的.
小区用户如果采用PPPoE拨号,是不需要配置IP-MAC绑定的.
通过管理界面的菜单【行为控制】->【防火墙】->【IP-MAC绑定】进入IP-MAC绑定配置界面,如下图
图片分享:
界面提供单条的IP-MAC记录添加,也提供批量添加以及一键全绑等方式,让用户方便的配置IP-MAC绑定
静态绑定
静态绑定是指用户手工添加的IP-MAC地址的绑定,启用之后,将对用户添加的IP-MAC地址列表进行绑定,如果不启用,添加了也不生效.
自动绑定
自动绑定的意思是,当一个电脑开始第一次通过路由上网的时候,路由器自动将该电脑的IP地址与网卡添加到绑定区,不需要用户手动添加.
禁止不在静态绑定列表的IP上网勾选这个按钮之后,将会对所有在自定义IP-MAC列表外的IP限制访问外网.如果不理解这个功能请不要勾选.
IP-MAC绑定状态
图片分享:
通过IP-MAC绑定状态可以了解当前路由器内存里的IP-MAC绑定情况,界面会列出所有的IP-MAC绑定情况,包括静态(自定义)的与自动绑定的。
如果同一个IP绑定了2个MAC地址,或者同一个MAC地址有2个IP,界面上会用冲突提醒标注出来,这样方便用户定位客户机是中毒了还是多IP情况。
第七步:
模块开关配置
模块开关是对某些不需要的模块进行关闭以节省系统开销的选项,如果您不了解每个开关的用处,不要随便开启或禁用,采用默认的即可
通过管理界面的菜单【系统维护】》【模块开关】进入模块开关界面,如下图:
图片分享:
多数的模块开关在界面上都有文字注释,一看便能明白,这里主要提醒用户几个开关的设置
WEB视频分流
如果不需要单独的将网页视频分流,可以关闭此开关,否则需要开启才能生效.
匿名用户认证
如果不需要用到客户端分流,可以关闭此开关,否则必须开启。
第八步:
进程对象配置
只有在安装了客户端,采用了应用分流的用户才需要关注进程对象的配置,如果没有用到客户端不用配置进程对象>
系统默认内置了1045个进程对象,涵盖了主流常用的windows应用。
如果您是网吧用户,当出现个别游戏卡、游戏线路带宽不够的情况,大都是因为没有配置好进程对象。
虽然系统已经自带了常用进程库,但是每个网吧的进程还是会有点区别的,
所以网吧用户都要进行这一步配置。
配置进程对象是为了做进程优先级和进程分流用。
不同的应用分类,具有不同的优先级属性。
在“未知进程”里添加进程对象
在“未知进程”里添加进程对象,是最常用、最有效的添加进程方法。
在有客户端的情况下,这里显示了内网中所有未的知进程,因此可以在这里直接添加进程对象。
配置路径是:
【系统状态】->【用户状态】->【未知进程】。
请参考下图说明进行配置。
图片分享:
通过点击进程名前面的“+”图标可以快速添加进程对象,参考下图说明进行配置
图片分享:
点击“确定”之后,进程会被添加到进程对象库里,在【对象管理】->【分流对象】->【应用对象】->【进程对象】里可以查到。
注意:
进程名如果是英文就必须是小写。
即使客户机里实际运行的英文进程名是大写的,这里也要输入成小写字母。
在“进程对象”里添加进程对象
在【对象管理】->【分流对象】->【应用对象】->【进程对象】里可以直接添加进程对象。
请参考下图说明进行配置。
图片分享:
注意,进程的分类不要添加错。
例如,不要把本来是P2P的进程添加到游戏类了。
在“目录对象”里添加目录对象
目录对象,添加起来比较快捷、省力。
添加了一个目录对象,就是把这个目录下的所有进程都指定了分类了。
大部分网吧本来就做好了目录归类的,添加目录对象就非常的便捷。
在【对象管理】->【分流对象】->【应用对象】->【目录对象】里添加。
请参考下图说明进行配置。
图片分享:
需要注意的是,如果游戏线路带宽有限,为了节省带宽,就需要把游戏目录里用于下载的进程对象(比如游戏更新进程),单独添加到P2P进程对象里。
在“域名对象”里添加域名对象
域名对象,不属于进程对象,因为它不是程序进程。
域名对象主要用于实现域名分流。
请参考下图说明进行配置。
在【对象管理】->【分流对象】->【应用对象】->【域名对象】里添加。
请参考下图说明进行配置。
图片分享:
域名对象,不需要客户端的配合就能生效。