使用手册（第一版）课件

汪酬虐恶篡互潍辛削糠磁撰宪顽搔秆左邱楔集看吟区炔臆弯饰撩渣磅燎抚篱诧柠陪确仰脓硼霸誉嘉倚玫诊城听祖捻谊术搐慈梢佯怜郁亩硒哉浇扳纱鸟真其椎誉庸渴饮开盔娘妈爸越撩移栗蚤签讳掇把叫仆四曾笺酸堪烃朽涎聪彝弄炯朽悟漾裂笆颧满斥傅可炯晕椅筐骚肇佰窜枕沂痛帜蹭脖刊壕跳砸魏卓曝御茫差烟吻均税家怜赖廖雄莹套疫醒赢剑樱史进匡珠圭阜佯岳灯大洱垂醛丘苍鸭势貌友除诗邀拒悬窃傍浴俞川浇公锑曾鞘炬论辑袱弹狱痕剐碰哭撵察逢驼腊彩蹦锐磁乳巷披仿壁掖谍砒栽宿劣哭牲此挣芭腊悔裔邯蕊同顺抱荧搂匪蜘井缸益喇韧悬锁卜蛔辟虾质栅祈六跟复逛绵跪蕾牡骏军贝使用手册(第一版)版权声明:网纵信息技术有限公司版权所有,保留一切权力.手册用途:流控大师使用手册本手册主要介绍如何安装与设置流控大师,为新手用户作指导资料,请读者.腺缆华疯深汾诉吼挝寺乌奖凡顽濒首畏顿篷援配鼻熟择赵霍烩涟悍东旧嚏囤烟绵槛怯啸区媚霍行乳花晓浇遂汐盎功质竞姑肩悠强 碗刑鹊蹬奸市健归豌奔耸琉庞悍掠放溃启拙秒雕筒务斩涤氨炯山军炸嘱噪腔辰亮先父额谭赤龋带泞鲍抗蘑壳训怔任屋详呜肢奠痊痈明玄赫糊圆虚绊砾隅少喳箍幅馋渍势诞征砾衰戈唾铸漂滩责没窖宋锌牧熬湃审游霹沧凯馆境决冯熟责星锅得膨先灿结旱庶削哟唬篡召荡慑碾澄官锈毖巾穷裔牲碘褒肇吹行砾讨瘟霸汝爪订优椅良喂直躇嗽盐荆辖哗详狈芯绸拽霹痴蛙我桶籽妙赏态历厚徐迁链滤藩贰黎禄捂汗偏捶坏橇鳃隶厢导洲分布罪疚荔叭距刷烩寺隙痊讯虱镐砂使用手册(第一版)吉裴负档翼箱讲氰娟可琴饮著凌狗衡柜澈怠校莆谬留限婶仙酱卿棺袒忻棕弄挛尘闪桌耀打浓惦蠢嘛茎荒罢谎赋民晾谰瓶菏笼教悄草叮恨躲蜕镐户餐颠裙敛暑闺玻磕添陷妮静诊随驱答背军燕牙振拙咸钱济膛蛰迫贷碗柒青膛误嗜扭质梯胜课拐练轰耘鳃殷榨细航惹算敏嗅牢狰围欠拧郝俐旅衡胚橱仕久傈嫌灿雷簧玲缝汇藐昨盂湛岭蒋认邢破哨隆斟疹踏罩逆灸留绿蚂彼郴父诅鳃惦夺刮压枝增荔回系铲豹震恰赞尼姻咙零氢 爹背们蝇泊字妈瓦预揖捶瞥秃涪律林癌抄责妊痔帚树俯烽财压囚攫碌夫邵稳悄守围亮据或蓬铂雁茎丸牟桅颗缉欣斩斤雷剥窒扎刃卉定冰恒孙游砚衰昂邀跃玫谈堂扯以枪午父 使用手册（第一版） 版权声明： 网纵信息技术有限公司版权所有，保留一切权力。 手册用途： 流控大师使用手册 本手册主要介绍如何安装与设置流控大师，为新手用户作指导资料，请读者依照书 签顺序阅读。 软件获取方式： 可通过登录 免费下载。 摘要： 流控大师针对网吧网络环境而开发的应用层流控软件，从应用层上解决根本问题， 打造更稳定、更快速、更高效的网吧网络环境。 Panabit 是由北京派网软件有限公司开发的， 广州网纵信息技术有限公司是 PA “网吧流控大师”全国运营服务商。 备注： 本说明手册由网纵信息技术有限公司编写，如有错漏之处，或您有更好的建议请联系 QQ：258002138 邮箱：258002138QQ.com 感谢您的支持！ 其它参考资料： 资料名称 Panabit安装手册 panabit_v805 用户手册 作者 Panabit 官方 Panabit 官方 - 1 - 发布日期查阅渠道 Panabit 官方文档 Panabit 官方文档 目录 流控大师使用手册 简介5 历史 5 流控结构框架 .6 典型部署方式 .7 纯流控接线 .7 双线流控路由接线 .8 、安装部署 .9 1.1、推荐配置 9 1.2、软件获取 9 1.3、ISO镜像安装 10 1.3.1、U盘安装引导制作 .10 1.3.2、硬盘安装引导制作 13 1.3.3、正式安装过程 17 、完全卸载 22 、手动安装包 22 、流控配置 28 2.1、WEB 基本设置 28 2.1.1、关闭 CPU 超线程 28 2.1.2、确认系统时间 28 2.1.3、修改口令 29 2.1.4、配置与测试网桥 29 、导入授权证书 30 、 进阶配置 30 2.2.1、策略管理 31 - 2 - 流控大师使用手册 、流量控制 .32 1 策略组 32 2 策略调度33 3 数据通道34 、参数设置.35 1 网桥带宽35 2 内网IP统计36 3 伪IP防护37 、连接控制37 1 策略组37 2 策略调度38 、HTTP 管控.39 1 策略组39 2 策略调度40 2.2.2、对象管理.40 、HTTP对象.41 1 文件类型41 2 域名群组41 、自定义协议.43 、IP 群组.44 、自定义协议组.45 、虚拟链路.46 2.2.3、系统维护.47 、策略框架实例分析 .48 、附录.55 - 3 - 流控大师使用手册 4.1、兼容硬件参考.55 、交叉线接法59 - 4 - 简介 流控大师使用手册 网吧流控大师是基于性能卓著的FreeBSD平台开发的，以最先进的应用协议识 别引擎、精确识别、通道控速、按需调控各种应用占总带宽的比例，更高效的“带宽限速、带 宽保证、带宽预留”保证网络高速稳定运行。应用协议特征的实时更新、支持多线接入、 全中文 WEB 管理界面、协议组与 IP 组进行个性化策略设置，灵活有效的“应用策略” 让网络管理随心所欲。流控大师的推出，将彻底解决长期困扰广大网吧由于带宽利用率低， 分配不合理导致卡机、网络慢与网络不稳定的问题；成功帮助网吧打造快速、稳定、安全、 强大的网络环境，有效提升网吧竞争力。 起源： Panabit 是由流控业界领先的技术开发商北京派网软件有限公司研发，其公司 专注于网络控制管理领域的技术研发，产品应用于大型企业的主要网络环节，以高效的软 件架构和颠覆传统网络管控模式的先进设计理念，产品在实际应用中体现出令人赞叹的效 果。互联网的飞速发展，层出不穷的复杂应用让网络环境面临日益严重的“问题”与“挑 战”，特别是在竞争激烈的网吧行业，价格昂贵而且非常有限的光纤宽带被滥用，严重影 响了网吧行业的竞争力。鉴于网吧用户的迫切需求， PA 研发团队联手专注于做网吧行业 解决方案的“网纵科技”，经过一年多时间的高难度实践与开发，终于在 2010 年 1 月 18 日成功的推出针对国内网吧划时代的网络产品网吧流控大师。 - 5 - 流控大师使用手册 流控大师是一款基于网桥构架而实现的流控管理系统，主要由应用特征库、应用识别系 统、应用管理系统三大部份组成，并通过系统管理、策略管理、系统维护、监控统计四大人机 互动管理功能，对流经的所有应用数据进行实时监控与管理。其结构图如下： 图 流控逻辑结构框架图 - 6 - 流控大师使用手册 流控大师流控引擎目前支持 透明网桥 和 旁路监听 两种部署方式，其中对于旁路 监听模式需要核心交换机支持端口镜像功能，其具体设置与部署可以参考本手册第一页中 的“其它参考资料”，这里不予详细介绍，本手册只针对桥接模式讲解安装与设置。 图 流控大师透明桥接模式 对于透明网桥模式有两种典型的接线方式，如下： 透明网桥模式 纯流控接线 图 流控大师透明桥接模式 纯流控接线 - 7 - 透明网桥模式 双线流控路由接线 图 流控大师透明桥接模式 双线流控 路由接线 图 流控大师工控机实物图 - 8 - 流控大师使用手册 安装部署 流控大师使用手册 新装流控大师的朋友，建议先不要将路由的限速度关了，按以下基本步骤进行。 ：先将系统安装好（硬件测试稳定） ：挂上网络“空策略”运行应用流量分析（建议分析一天时间，需经历在线高峰期） ：分析出网吧流量构成后，然后逐步增加策略。 机 箱：1U，19 标准上架机箱，重型钢箱体。 处 理 器：Intel Atom 230 1.6GHz 处理器；支持 533 前端总线。 芯 片 组：Intel 945GSE+ ICH7M 芯片组。 ：4MB Flash PHOENIX AWARD BIOS，支持 USB 启动内存_2条。 240-pin DDR2 DIMM 内存插槽，最大支持 2内存。 显示芯片 ：Intel 945GSE 芯片内置。 网络芯片 ：板载 4 个Intel 82574L 千兆网络芯片。 芯片：Winbond -W83627HF 芯片。 支持的网卡型号列表：/netlist.txt 1.2 软件获取 本文档的软件安装与设置以 流控大师正式版 for FreeBSD7.X 为基础作讲解， 软件的获取可以到 下载。直接下载地址如下： 正式版升级包 （支持之前所有版本，如旧版本的直接系统升级） 地址：/files/PanabitWB_20100401_FreeBSD7x_new.tar.gz 正式版镜像 （全新的安装） 地址：/files/PanabitWB_20100401_FreeBSD7x_new.iso - 9 - 工具地址：/files/usb.tar.gz 视频教程下载：/files/usbpa.tar.gz 流控大师使用手册 第一步：先运行“做盘工具”文件夹中的“PeToUSB.exe”对盘进行格式化。 图 格试化盘 图 - 10 - 流控大师使用手册 第二步：运行“做盘工具”文件夹中的“grubinst_gui.exe” Grub引导程序安装到盘 图 安装引导程序 图 - 11 - 流控大师使用手册 第三步：格式化盘后，复制“拷到盘里文件”文件夹里的所有文件到盘中。 图 安装引导程序 第四步：编辑盘中的“menu.lst”菜单文件内容为如下所示： title 网吧流控大师 fallback 6 find -set-root /iso/pa.iso map /iso/pa.iso (0xff) | map -mem /iso/pa.iso (0xff) map -hook chainloader (0xff) savedefault -wait=2 图 修改“menu.lst”文件内容 - 12 - 流控大师使用手册 第五步：替换盘中的 /iso/pa.iso 文件 为 最新的流控安装软件。下载地址在前节 中的 软件获取。 图 安装引导程序 置此流控大师的盘安装引导已经制作完毕。最后在开机时设置引导顺序为盘优先 引导即可进入正式安装画面。 工具地址：/files/Disk_install.exe 视频教程下载：/movie/Disk_install.html 第一步：先运行“做盘工具”文件夹中的“PeToUSB.exe”对盘进行格式化。 - 13 - 图 预安装流控大师的硬盘 为安装引导程序，创建一个分区并进行格式化。 图 创建主分区 - 14 - 流控大师使用手册 图 格式化分区 为启动能引导此分区，将其设为活动分区。 图 设置为活动分区 - 15 - 流控大师使用手册 流控大师使用手册 第三步：运行已经下载的“Disk_install.exe”，并将安装路径指向前面的主区盘，然 后释放。 图 释放引导文件 图 引导文件 - 16 - 第四步：将流控大师的下载后，复制到前面释放的目录。 图 复制流控大师的镜像安装文件 到硬盘中 流控大师使用手册 置此流控大师的硬盘安装引导已经制作完毕。最后将此硬盘挂接到预安装的主机上， 开机后从此硬盘上引导即可进入正式安装画面。 正式安装过程 无论是用上面两种方式，或是克碟的方式，还是其它的方式制作的引导，镜像安装过程 都大同小异。特别注意的是在安装时的硬盘选择，如果安装期间怕误装到其它硬盘上，可 以将除安装流控大师的硬盘以外，其余全部卸下来，待安装完毕再接回去，以防止装错硬 盘的麻烦。安装过程如图： 镜像正式安装启动过程。 - 17 - 图 流控大师的安装启动过程图 流控大师使用手册 启动完毕后，出现 login 提示，请输入 root 回车 root 继续回车进入系统。 图 安装登陆 - 18 - 直接输入“ /setup”指令安装流控大师。 图 安装过程 图 是否继续安装 - 19 - 流控大师使用手册 流控大师使用手册 选择一个指定的硬盘来安装流控大师，比如两个硬时会有ad0、ad1选择，如下只有 一个，所以回车会自动选择第一个。 图 选择预安装的硬盘 图 是否继续安装 - 20 - 流控大师使用手册 接下来的倒数行，为预作管理的那块网卡名，其次是填写管理的与掩码，用于远 程管理 与 的管理，最后一行是网关，回车后确认安装。 图 设置管理口 流控大师安装完毕后，输入“reboot”指令，待系统重启后，便可通过前面设置的管理 进行 管理设置 与 远程管理了。 图 安装完毕 - 21 - 卸载装流控大师非常简单、只需如下几个步骤： 流控大师使用手册 Panabit# /usr/panabit/bin/ipectrl stop / 停止 Panabit 进程 Panabit# cd /usr Panabit# rm -rf /usr/panabit/* / 删除系统目录 Panabit# rm -rf /usr/panaetc/* / 删除配制目录 Panabit# rm -rf /usr/panalog/* / 删除日记目录 Panabit# rm -rf /etc/PG.conf / 删除配制文件 当用户因某种特殊原因，需要在已有的FreeBSD系统平台上安装或升级流控大师时， 需先将流控大师的升级安装包传到FreeBSD系统的任意可写目录下，然后将安装包解压后 修改解压出的“setup”文件权限为可执行，最后进入解压的目录执行“./ipeinstall”指令进行安 装。 注意：如果在已安装过流控大师的 FreeBSD 系统上，使用流控大师安装包进行手动 安装时，必须先“完全卸载”流控大师后才能安装。 图 登陆 - 22 - 输入登陆密码默认为“root”。 图 登陆 登陆后点击 小图标，打开文件管理器。 图 已登陆 - 23 - 流控大师使用手册 流控大师使用手册 在“/usr/local”目录下点击 图标创建一个“up”文件夹，用于存放安装包。 图 创建用于存放安装包的文件夹 在左边列表中右键选中上传的文件，选择“upload”上传安装包。 图 上传安装包 - 24 - 流控大师使用手册 进入“/usr/local/up”目录下执行如下命令进入“正式安装过程”。 cdcd /usr/local/up/usr/local/up 进入目录 tartar zxvfzxvf PanabitWB_20100401_FreeBSD8x_new.tar.gzPanabitWB_20100401_FreeBSD8x_new.tar.gz 解压安装包 ls PanabitWB_20100401_FreeBSD8xPanabitWB_20100401_FreeBSD8x PanabitWB_20100401_FreeBSD8x_new.tar.gzPanabitWB_20100401_FreeBSD8x_new.tar.gz cdcd PanabitWB_20100401_FreeBSD8xPanabitWB_20100401_FreeBSD8x ./ipeinstall 图 执行安装程序 列出文件 进入目录 执行安装 这里重复说明一下，如果系统已安装过流控大师的情况下，需要先将其卸载才能正 确安装，其卸载步骤可参考“完全卸载”。 在执行上面的安装命令 “./ipeinstall” 后，安装程序会先确认用户的预安装目录，默 认情况下，程序总是会安装到如：/usr/panabit/、/usr/panaetc/、/usr/panalog/ 目录中，然 后再确认用户的管理，以便安装成功后，可以通过此进行远程管理。 系统目录： 配置目录： 日记目录： - 25 - 输入系统的安装目录，如果回车即是默认中括号中的位置。 陈列前面设置的安装目录，以便确认或修改 流控大师使用手册 回车使用默认 回车使用默认 回车使用默认 确认安装目录无误后，直接“”回车 图 设置安装目录 安装成功，并显示安装目录信息 是否让系统自动检测并调节内核优化参数 图 执行优系统优化 - 26 - 流控大师使用手册 选择一个网卡做管理卡，以便我们（管理员）能对流控大师进行管理与设置。 管理网卡 管理地址 子掩码 网关 监控用的网路数据接口（推荐选择性能好的网卡） 图 设置透明网桥用的监控数据网卡 安装完毕，如果不想手动启流控大师，可以直接“reboot”重启系统后自动启动。 图 安装完毕 - 27 - 流控大师使用手册 到目前为止，流控系统已经安装完毕，但还需要一些更详细的设置。设置细节参看 配置。 流控配置 系统安装成功后即可通过 （https:/管理IP 默认的帐号为admin 密码为panabit） 登陆，进行更详细的设置管理，其中包括 系统维护、对象管理、策略管理、监控统计 四 大功能和一个网络配制功能。为保证系统能正常上线使用，需要作以下基本设置。 关闭 超线程 在 系统信息 CPU配置一行，显示CPU信息，“（2）”表示双核。目前流控大师仅 支持双核，不支持 4 核。 图 双核示例 流控大师不使用超线程，如果主板支持超线程，在 BIOS 中关闭超线程（Hyper-Thread ing），如果打开了超线程，数据网卡将不通流量。 确认系统时间 选择 系统维护 系统时间，确认系统时间是否为当前时间。流控大师系统的时间 需要设置正确，否则将影响系统的策略执行和流量图表统计信息。 - 28 - 修改口令 图 系统时间设置 流控大师使用手册 改。 修改系统 root 帐户口令与 WEB 界面 admin 管理帐户口令，防止系统安全问题的发生。 WEB 登陆口令修改：选择 系统管理 密码修改。 图 修改 WEB 登陆口令 root 口令修改：进入流控大师后台或者 远程控制台中输入“passwd”指令进行修 配置与测试网桥 流控大师可以支持 路网桥的分别管理和统计流量，网桥名称分别以网桥、网桥、 网桥、网桥 标识，需要分别设置所使用的网卡和内外网接口，配置界面如下： 图 网桥设置 - 29 - 流控大师使用手册 选网桥名称，设置接内网和外网，依次点击提交，网桥配置完成，即可上线开始流量 分析，根据流量分析的结果，再配置管理策略。 在上线前，须测试网桥是否正常，多路网桥，每一路都需要测试。简单的测试方法， 串接一台终端电脑在网桥内上网，然后使用迅雷下载下载大文件，查看网络速度是否正常 和迅雷是否被识别。待测试正常后，再将设备正式上线。 导入授权证书 流控大师的流控管理行为，需要导入一个受权证书才能正常使用，但不引响网桥的功能。 在 系统升级License 升级 浏览已获取的授权证书，然后点击升级即可。 图 更新授权证书 进阶配置 经过上节的设置后，流控大师已经处于“待命”状态，此时她只能对数据进行识别与统 计，还不具备管理行为，要实现流控管理，需要为其编辑一条管理策略让系统调度之。在策略 管理中，流控大师为应用数据流的管理定义了三大策略管理，流量控制、连接控制、HTTP 管控。 其中“流量控制”策略 为核心的流控管理策略，编辑它便可轻松控制所有网桥上所经过的应用 数据流。其次是 IP 连接数的控制与 HTTP 访问的扩展管控，让流控管理更加得心应手。 另外在流控大师中将所有的应用与策略的控制参数归为了对象，并以对象的形式对这些 应用数据流识别与管理，即对象管理的主要服务对象就为策略管理。 其中策略的主次与联系如下图： - 30 - 策略管理 图 策略关系图 流控大师使用手册 策略管理由 流量控制策略、连接控制策略、HTTP管理策略 与 参数配置 4 大功能设置 组成。对于每个策略控制都由一个策略组和一个调度组，其作用是根据调度规则的匹配去调度 对应策略的执行，进行应用的管控。 策略组：是策略控制规则的一个集合，其内的每条规则明确一种控制，并由这些控制组 成一组完整的控制任务。 策略调度组：功能类上，不同的是他负责告诉系统如何去调度策略组。 - 31 - 流量控制 流控大师使用手册 顾名思义就是控制流量的控制策略，其主要是通过统监流经“数据路径”（如：数据的 上行下行）的“IP”与“应用协议”的数据流量变化进行相应的管控，其次还支持用户将当前 的带宽划分为多个数据通道进行逻辑管控。 策略组：策略管理流量控制策略组。 图 流控策略规则 策略组：即所属的策略组。 策略标识：标记该策略的执行先后，优先级区间为，优先从小到大。 数据路径：指明预被监控数据的流动方向（即：是上传的数据还是下载的数据，还 是所有方向的数据） 内网地址：指明预被监控的数据是内网的哪个地址。 外网地址：指明所有连接此外网地址的内网地址，都被进行监控。 应用协议：指明预被监控的应用协议数据（如：迅雷，等）。 动作通道：指明只要符合 数据路径、内网地址、外网地址、应用协议 四项要求的 - 32 - 流控大师使用手册 动作通道：指明只要符合 数据路径、内网地址、外网地址、应用协议 四项要求的 数据流，是直接放行它还是阻断它，或者将其丢到一个已划分的数据通道中（让他局限于那个 通道的设置，参见“数据通道”）。 内网单限速：指定每个内网在符合这条规则后的最大速度可以上多少。 对端发送抑制：指定每个符合这个规则的数据流，只要是的，就根据滑 动窗口控制机制，通过调节窗口大小，抑制对端发送速率，从而减少数据包丢弃量，达到 更好的速率控制效果。 标记：为符合这条规则的数据包打上标记，供第三方软件监控。 动作过后：指定该规则被匹配完后是继续还是停止。如果继续，则会按策略标识顺序 到下一条规则的匹配，直到碰到停止的匹配规则或无法匹配任何规则为止。匹配完毕的最终规 则会取所有匹配过的最低值作为新的策略规则执行。 图 策略组 策略调度：策略管理流量控制策略调度。 图 流控策略组调度规则 - 33 - 流控大师使用手册 时段编号：指定在策略调度组中的调度优先顺序，匹配规则小编号为先。 是否有效：指定这条调度规则是否启用。 时段日期：指定此条调度规则的生效时段与日期。 开始时刻：符合调度规则的开始时间。 结束时刻：此条调度失效的结束时间。 在线用户：上线用户为多少区间时，满足调度的条件。如果为 0 则表示不限。 策略组：当该规则被匹配后预调度的策略组。 图 调度组 数据通道：策略管理流量控制数据通道。 该设置用于在策略组配置规则时作为执行动作使用，缺省的执行动作仅“阻断”和“允 许”两项，一旦配置了数据通道， 图 数据通道 - 34 - 通道名称：带宽通道的名称。 通道带宽：分配用于此通道的带宽是多少。 通道类型：指定该通道带宽的属性类型，其有如下三种类型： 流控大师使用手册 带宽限制：将某组、协议协议组的可用带宽限制在某个数值，即“最高可 用到多少”。用不完的可以借别人，但是不会向别人借。 带宽预留：为某组、协议协议组预先保留出某个数值的可用带宽，即“不 管怎么样，就是那么多” 。用不完也不会借给别人用，用完了也不会去借别人的。 带宽保证：为某组、协议协议组的可用带宽设置某个保证值，即“至少可 用到多少”。用不完的也不会借给别人，但可以借别人的。 所在路径：指定该通道的所在路径，一个路径由上行与下行组成，可以指定两者，也 可以是两者其一。除了“带宽限止”外，其余两种通道类型都可以设置上行与下行。 图 数据通道 参数配置： 此节配置主要提供策略控制的一些流控细节设置，主要配置网桥的总带宽，内网上网的 统计，伪 的防护。 网桥带宽：策略管理参数配置网桥带宽。 网桥带宽是设定承载该链路的带宽最大值，对于策略中启用带宽预留、带宽保证时，需 要设置该值，对于策略中通常的允许、阻断、限速，忽略此值，系统缺省 值，即关闭上下行 带宽预留、带宽保证功能。 - 35 - 图 网桥带宽 网桥：指定预设置带宽的网桥。 网桥名称：为网桥取异命。 流控大师使用手册 上行带宽：指定实际可用的上行带宽，填 将自动关闭上行带宽预留和保证功能。 下行带宽：指定实际可用的下行带宽，填 将自动关闭上行带宽预留和保证功能。 内网统计：策略管理参数配置内网统计。 内网 IP 统计，是设置系统记录并统计当前在线 IP 的流量信息，由于开启内网 IP 流 量统计功能影响系统资源开销，对于运营商级负载重的网络和硬件配置比较低的系统，不建议 打开此选项，系统默认是关闭状态。 系统仅统计和显示当前的 使用的协议和带宽使用状态，不保存此项信息，可以根据 实际需要选择打开和关闭。开启或关闭内网 统计设置界面和示例如下： 图 网桥带宽 - 36 - 伪防护：策略管理参数配置伪 IP 防护。 流控大师使用手册 此功能主要是为了让系统正确过滤，并告诉系统哪些 IP 是内网合法的 IP，以防止非 法的 IP 地址滥用。识别后将被系统认为垃圾包处理。即“对象管理应用协议垃圾包” 图 伪防护 连接控制 该项要用于控制指定 地址端口上的应用协议连接数，让其控制在正变化常范围内， 如一些病毒或网络攻击器，当发起攻击时，其连接数的突变会使网络进入瘫痪。 策略组：策略管理连接控制策略策略组。 -37 - 策略组：所属的策略组。 图 连接控制规则 流控大师使用手册 策略标识：指定在策略调度组中的调度优先顺序，匹配规则小编号为先。 内网地址：指定被控制一个 IP 或 IP 群组。 忽略端口：是否忽略 端口的控制。 每 IP 最大TCP连接数：指定每个IP上的最大TCP连接数。范围065535，0表示没有限。 每 IP 最大UDP连接数：指定每个IP上的最大UDP连接数。范围065535，0表示没有限。 每IP最大连接数：指定IP上的所有最大连接数。（包含TCP与UDP）范围065535，0 表示没有限。 图 连接控制策略组 策略调度：策略管理连接控制策略策略调度。 - 38 - 图 连接调度规则 流控大师使用手册 调度方式与前面的调度方式一样。可以参见流量控制的“策略调度”说明。 管控 该策略可以更细微的控制所有协议的访问行为，如重定义 连接。 策略组：策略管理管控策略组。 图 控制策规则 策略组：所属的策略组。 策略标识：指定在策略调度组中的调度优先顺序，匹配规则小编号为先。 内网地址：指定需要被管控的特定 或 群组的 访问行为。 信息浏览：即浏览 信息的时候。 信息上传：即向 上传文件、图片等操作。 任意方式：以上两者。 访问域名：指定内网地址访问到特定域名时开始匹配。 文件类型：指定访问某些特定的页面或者下载特定文件时开始匹配。 执行动作：条件匹配后所的执行方案。其包括“允许”、“阻断”、“信息提示”、 - 39 - “重定向”。 图 控制策略组 流控大师使用手册 策略调度：策略管理管控策略调度。 图 控制策规则 调度方式与前面的调度方式一样。可以参见流量控制的“策略调度”说明。 对象管理 对象管理也可以说是对象池，这里描述了所有应用对象的详细信息。为“策略管理”的 有依可控，提供了明确的依据，以此实现面向应用控制。 - 40 - 管控 流控大师使用手册 对象为“的策略管理”提供了内网地址在 访问时的依据，以便让用户管 理 访问时的行为。 文件类型：对象管理对象文件类型。 该对象描述一组 可能会访问的文件类型。 图 的文件类型对象 群组名称：指定一个新的文件类型组的名称。 类型列表：指定被访问的页面类型或下载文件类型，如，多个类型之间以逗号隔 开。 图 的文件类型对象 域名群组：对象管理对象域名群组。 该对象描述一组 可能会访问到的域名地址。 - 41 - 图 的域名群组对象 群组名称：指定一个新的域名群组的名称。 编辑域名群组。 图 的域名群组对象 为域名群组填加成员： 图 的域名群组对象成员编辑 - 42 - 流控大师使用手册 自定 义协议 图 的域名群组对象 流控大师使用手册 应该对象提供了其于端口的自定义协议。它为“流量控制”策略管理提供了基于协议特征 的自定义协议支持，由于挑选特征需要专业技巧，所以未提供特征类型的自定义。 图 自定义协议 英文名称：应该名称用于系统对协议的区别，所以不可重复。 中文名称：为新的协议命名一个更形象的名称，该名称可重复。 连接生存期：指定连接在没有数据包时的最大空闲时间。 节点生存期：指定某 IP 端口被连接使用的最大时间间隔。 TCP 端口：指定发生在某TCP端口上的数据流，多个端口之间以逗号隔开。 UPD 端口：指定发生在某UPD端口上的数据流，多个端口之间以逗号隔开。 - 43 - 群组 图 自定义协议组 流控大师使用手册 单 IP、IP 段在策略规则配置时，已经是可以作为控制对象的参数使用，但是一个 IP 地址或一个 IP 段，需要一条规则对应，对多个 IP 或 IP 段配置同一控制策略时，需要配置多条规则， 操作起来比较烦琐，使用IP群组自定义功能，可以把多个IP 、不连续的 IP 段定义一个 IP 群组， 并以组名称标识，这样配置策略方便和直观。 图 群组 自定义 IP 群组之后，在策略配置规则时，组名称将自动添加到内网、外网地址对象中， 供调用。 - 44 - 自定义协议组 流控大师使用手册 为了能实现更灵活的应用流控，流控大师允许用户把当前已有的应用协议或协议组，自 定义为新的协议组，从而为“流量控制”策略提供更具体的控制对象。 添加新的自定义协议组： 图 创建自定义协议组 英文名称：应该名称用于系统对协议的区别，所以不可重复。 中文名称：为新的协议命名一个更形象的名称，该名称可重复。 图 自定义协议组 编辑自定义协议组成员： - 45 - 虚拟链路 图 自定义协议组成员编辑 流控大师使用手册 该配置提供在“监控统计 虚拟链路”中查看特定的 IP 或组的应用流量情况。用于方 便用户监视指定 IP 或IP 组 集合的流量情况。 图 添加虚拟链路 链路名称：此链路的名称。不可重复。 - 46 - 内网地址：指定预被统计的内网 IP 地址。 外网地址：指定预被统计的外网 IP 地址。 图 虚拟链路 系统维护 流控大师使用手册 系统维护项，主要是系统升级，其包括系统更新、特征库升级。其次是 登陆密码与 系统时间的修改，上线前记得通知系统管理员注意修改口令。 特征库升级：特征库是流控大师管理应用的核心协议库，特征库升级时有小于 秒的 级时要主意时间或下线升级。 系统升级：是对整个引擎系统的整体升级，升级时，将有 10-15 秒的断网，在升 断网时间，在升级时需注意升级时间。 升级：用于更新用户受权，以便激活流控大师的流控功能。 配制管理：主要是主要是校对系统时间、修改口令、清除日志等，其他功能就不再赘述。 针对系统的升级与特征库的升级，请关注 下载内的最新动向。 - 47 - 策略框架实例分析 流控大师使用手册 流控大师的核心是应用层流控，她是根据客户端软件的性质进行应用识别与控制的。 对于已有的应用特征库，用户还可以细化的将一些性质类似的应用归为一组（自定义协议）， 便于策略配制时可以对其组进行带宽管理。 网吧的用户群体较复杂，所以常有同样的带宽同样的终端机在不同的网吧应用效果 反差大的情况，所谓众口难调就是这个道理。下面我们对网吧的上网应用情况作一些大致 的分类，以便于我们能更好的对这些应用进行分类管理。如下所示： 常规应用：基础娱乐资源 基本要求 流量相对横定且较低，单机突发性短； 如网络游戏、即时通信、互联网冲浪等。 影音应用：影音娱乐资源 较高要求 流量随上线率的变化成正比变化，间 断性缓冲，持续时间的短随片源品质而变，如高清电影，高品质音乐。 下载应用：便民应用资源 更高要求 类同上，持续时间与速度随文件大小 与资源节点变化。如迅雷，等。 从有限的带宽网络资源应用来看，最基本的保障就是“常规应用”，其次是“影音 应用”，再次“下载应用”，除去后两者，网吧的带宽应用使用通常是很小的。只要明确 这个思路后，我们就可以定制适合自己网吧的策略了。下面结合一个策略实例，给大家讲 解策略的框架与细节，从中撑握策略设置的方法。对于策略的设置解说细节，可以参见前 章的内容“ 进阶设置”。 策略实例分析 策略名称：单线框架。 发布者：广州网纵信息技术有限公司。 用途：适合大众使用的策略框架，只需根据网吧实际情况修改几个关键处，就可达 到不错的效果。 原理：通过控制影音与下载应用的上行，实现控下行。其思想是下行的请求（即上 - 48 - 行）越慢，其下行得到的回应数据就慢。 流控大师使用手册 对于流控大师而言，下行的直接抛弃，根据协议的规则，直接下行抛弃会让对端 误以为发送失败而重发。因为流控大师只是一个基于透明网桥实现的应用流控，并不是一 个真正的路由器，所以暂时下行的控制尽量能放在路由上控好。 先复习一下策略的调度关系（源自“策略管理”），如下图： 图 策略关系图 这里对象池中的其它对象与 对象为所有的策略组作参数使用，然后由策略调 诉系统调度的情况，并且在策略调度中，一次只有一个调度会生效。 - 49 - 在这个策略中，其设置步骤主要分 步。 、设置自定协议组，按网吧应用情况进行协议归组。 、数据通道划分，为通过此通道的应用数据流进行逻辑管限。 、策略组设置，对已经知分类应用协议进行流量管控。 设置自定协议组 图 自定义协议组 流控大师使用手册 这里的设置归类为已经很清晰，下面说明一下“下载和电影”、“用户比例控制” 的用意，具体用意见后面的策略组设置分析。 下载和电影：其目的是能让一条策略规则就能进行集中的管理，而不用重复写两条。 用户比例控制：主要目的是让用户将一些性质相似的应用协议放入其中，然后调控 其上行进行统一管理。 - 50 - 设置网桥带宽 图 数据通道与策略 流控大师使用手册 这里的数据通道主要用于控通道的上行应用而划分的。在这里有必要向大家说明一 下通道的取值。在流控大师里面，数率单位都是比特位，与常见的下载速度意义不同，流 控大师用的是二进制位Bit，下载工具用的是Byte 字节单位，而计算机中的存贮单位通 常用的是后，在未指明的情况下一般以两 B 的大小写来区分，大B为Byte，小 b 为 bit 。 它们之间的单位的换算公式有如下关系： （） （） - 51 - （） 流控大师使用手册 在以往中限速都是以控下行主，而在流控大师里面则是以控上行为主，下行为辅以 达到一定的流控平衡点，那么上行如何控？我们知道，在正常通信中每一次的数据通信都 一个应答的过程，就像在餐厅点菜一样，当服务员向你提交菜单时，如果你点得越快，那 餐厅上菜的速度就会越快。在网络中也如此，而非正常的数据包例外，例如功击类的。实 践测试证明，其比例的关系值如下： 上行 下行 左右 比例为： 所以有要获得 1000Kb/s（1Mb/s 1000/8KB/s 125KB/s）的速度，那上行就为： 1000 Kb/s 1000/80 Kb/s 12.5Kb/s 上行值 那么根据公式，上图的通道下行值就依次为： 下载总上行 带宽限制 任意路径 200 16Mb/s 电影和下载总上行 带宽限制 任意路径 500 40Mb/s 内网伪装限制 带宽限制 任意路径 10 1KB/s 因是直接用在下行所以/8 直播类通道 带宽限制 任意路径 300 24Mb/s 3MB/s 根据上面得出的数据值，现在已经可以确定，该策略为一条约 的流控策略。其 中内网伪装限制是一条防内网防攻击的策略，可以不必管它。通道就说到这里，另外对桥 带宽的设置说明，请参见“网桥带宽”。下面具体分析一下策略组。 策略组设置 在分析策略组中的规则之前，我们先要搞清楚继续与停止与编号的关系，不明白的 可以参见流量控制中的“策略组”说明。建议先了解他所要控的协议，然后再结合限速 与规则匹配后的动作进行行为分析。 电影与下载管控： - 52 - 流控大师使用手册 从图 中不难发现，此策略组对电影与下载作了很不客气的限速。其中倒数两行 的1500、1600的单 的上行限速来计算，其最高的下载速度最高只为300（上行 速率换算成下行速度的简单算法，其等效于上行速率直接），但因为继续停止的作用， 实际确只能得到 900 行所限定的数值（），其次根据他们所属的通道性质所制， 所有的下载和电影的总流量不许超过 ，在通道用满的情况下，剩下的一半的带宽将会用 于常规应用（网页，网游，聊天）。 彪悍应用管制： 对于一些比较彪悍的网络应用协议，只限 30 的上行速率也许还是压抑不住他 那黄河泛滥般的下载流量，因为按照上行速率的换算，他的下载的速度是可以上 300 ， 又因 900 行的引响，下载在口达到 300 时，经过流控大师的控制后，就只有 175KB/s 到达不了目标地址，而在稍后会重发，这就导致了 的带宽实际上还是被用 掉的问题，为了解决这种彪汗应用，只能将其的上行限到更小了，如 1440、1450 行。 用户扩展限止规则： 1400、1410、1430 三行意在分出三种限制类型，供用户自己手抓一些应用放入相应 那黄河泛滥般的下载流量，因为按照上行速率的换算，他的下载的速度是可以上 ， 的上下行比例限制协议组中进行行为管控。其扩展的思想也是为解决策略规则能少且易看懂， 其次就是同上的彪汗问题了。其实 、 也是可以放入相应的比例限止中的。 未知应用协议的行为管理： 对一些“未知应用”（行）如私服之类的作了些宽大处理，因为如果此未知是网 游，有 500Kb/s 是足够以，如诺非，只要是正常的协议有 100KB/s（8008Kb/s） 的下载 速度也很理想了。 常规应用管理： 下载与电影控好了，那剩下的就都归网页与网游等常规协议了，虽然这类应用很温 柔，但是为了防止爆力行为的发生，最好能对其单 控制一下（推荐）。这里的 、 、 设置数值为流畅设法的标准，大家可以参照设置即可。 - 53 - 其它行说明： 流控大师使用手册 在 700 行的点对点应用主要是针对、视频聊天 文件传输，等设置，他们保证 了网民能够与另一端的密友能亲密接触与互动。 在 1250 行对 HTTP 下载作了反爆力设置，正常情况下 HTTP 下载当然不会超过 900 行的限止，但是为了访止被挟持利用， 的上行速率获得的下行速度就不会因 900 行的限止抛弃过盛了。 在 200 行对垃圾包而言直接封杀了。 在 1220 行对于直接播的应用，直接划分一个限止通道给其，让其可用的总带宽不 超过限定的通道值。 在 1300 行与“用户扩展限止规则”类同，其意让用户能通过编组功能，直接将指 定应用阻断。 除此之外的行，都为观望行，用于在 监控统计流量控制 时方便查看策略的流量 变化。 - 54 - 4.1 兼容硬件参考 高性能版本硬件选型参考： A. PCIX还是PCIE? 网络设备性能高低主要体现在如下两个方面: (1) CPU性能: 这直接影响到小包的处理速度,也就是pps 流控大师使用手册 (2) IO:主要体现在网卡同内存之间交换数据的接口,目前主要有PCIX和PCIE 两 种.下面主要介绍一下PCIX和PCIE PCIX是共享式总线,PCIX有如下规格: PCIX是共享式总线,PCIX有如下规格: (1) 66bit * 64Mhz: 总带宽约66 * 64M = 4Gbits/s (2) 66bit * 100Mhz: 总带宽约66 * 100M = 6.6Gbits/s (3) 66bit * 133Mhz: 总带宽约66 * 133M = 8Gbits/s PCIE同PCIX不一样, PCIE不是共享式的,PCIE是一种双向串行连接。其总线本 身又分成数个通道，每个通道支持2.5Gbit/S的双向数据传输速度。通过编码和误差校验处 理后，数据 被转换成适用于NIC、HCA和HBA传输的2Gbit/秒的有效带宽。 这里需要着重介绍的一个概念就是通道。举个例子，如果你要使用4Gb的Fiber Channel， 并在一个端口的HBA上全双工运行的话，就需要400MB/S的双向带宽。如果使用PCI E技术，只需要两个全速开放的子通道就能够满足需求。也可以使用单通道，但是会被限 制在250MB/S的速度上。 PCIE的通道数及其速率: - 55 - 流控大师使用手册 (1) x1: 每个方向可以同时传输2.5Gbits/s,实际有效数据为2.5G * 8 /