Drcom_PTP简明配置手册.doc

Drcom_PTP简明配置手册1Web管理界面(1) 登陆Web界面：17 (IP地址是登陆Web界面前，在FreeBSD系统临时设置的IP地址)使用ifconfig命令不加参数，即可查看系统识别的网卡设备名称和激活连线状态，找到连上网线Active的网卡，实例中默认的active网卡为Mgmt口，使用ifconfig fxp0 00 临时指定IP地址(此列fxp0是第一块intel网卡的设备名称，FreeBSD下不同网卡的设备名称不同，不同于Linux下以eth0、eth1这样顺序编号)。提示：Drcom_PTP不使用FreeBSD系统的网络配置文件，通过命令行指定的IP地址仅临时使用，启动Drcom_PTP时，根据Drcom_PTP系统的网络配置文件初始化，所以网络设置须通过登陆Web管理界面进行设置并提交后才会永久有效。(2) Web界面缺省用户名、密码：用户名：admin 密码：2配置管理Drcom_PTP配置管理分为三个部分：网络设置、系统参数、策略管理，其中主要的是策略管理。(1)网络设置：工作模式与IP地址：示例：如下图所示，em0与em1构成网桥，分别连接外网与内网；em2做为管理口配置管理IP。（如需工作在监听模式，只需点击对应网卡的“配置”选择“监听模式”并输入IP即可）缺省网关：输入缺省网关，提交即可。注：系统工作在网桥模式时，输入缺省网关的意义在于：对于那些加密的P2P协议，必须保证Drcom_PTP自身可以访问到外网，主动探测引擎才可正常工作，否则这些加密协议将有可能被识别为未知应用。(2)系统参数：内网IP统计：选择是否打开内网IP流量统计功能，并设置内网IP最大空闲时间（规定时间内无任何流量动作的空闲IP将被系统自动从统计库中删除），提交。注：内网IP流量统计功能是为中小企业用户量身定做的一项特色功能。由于该功能会相应的降低系统的一些性能，所以在运营商及用户数量庞大的网络中，如需首要保证性能，则建议关闭此功能。（缺省状态下，该功能为打开状态。）出口带宽：指定网络出口的上、下行带宽，启用带宽预留和带宽保证时，需要输入此项，指明上下行最大带宽，注意此处的单位是kbps。（缺省值为0，即是关闭带宽预留和带宽保证功能状态。）(3)策略管理：Drcom_PTP策略配置设计思路： Drcom_PTP策略配置管理系统中，设置策略并使之生效必须完成两个步骤：创建并编辑策略组、创建策略计划表。其中在编辑策略的动作选项中，缺省仅有允许、阻断两个动作。如需执行其他动作如带宽限速、带宽保证、带宽预留，则需要先行创建数据通道，在“通道类型”中选择相应的动作类型，创建数据通道完毕后，在编辑策略时，数据通道名将出现在动作选项中，即可在动作选项中选择已定义的数据通道，设定不同类型的详细策略。策略组配置完成，仅表示预配置了策略，需要加载至策略计划表，才生效。具体示例请参看以下步骤：1)创建并编辑策略组：注：策略组包括“通道管理”与“策略管理”两部分，需分别创建；策略设置时的处理动作选项将引用具体的“数据通道”。 第一步： 点击“策略组”-“添加策略组”，如下图所示：创建一个名为worktime的策略组。提交。第二步：点击“编辑”键，对worktime策略组进行具体编辑。第三步：创建数据通道。先后点击“通道管理”-“添加数据通道”，如下图所示：如上图所示：假如欲针对P2P协议做下行方向的速率限制规则，则先定义一个数据通道：名为p2p，通道类型选择“带宽限制”，通道方向选择“下行”，在“通道带宽”中输入相应的数值，本例设置为800，注意单位为kbits/s，提交。结果如下图所示：至此数据通道创建完成，然后开始设置具体的策略。第四步：创建并编辑具体策略。先后点击“策略管理”-“添加策略”： 假如要做一条规则：限制内网/24网段P2P协议下行速率为800kbits/s，则创建规则过程如下图所示：如上图所示：指定规则序号10 （1-65536任意，系统将按照序号小的优先匹配，所以每条规则之间最好不要连续，这样方便随时插入新规则，比如创建3条规则，序号分别为10、20、30，如临时有需要，可以加入序号为15的规则，系统将自动将其插入规则10、20之间），数据流向选择“下行”，分别指定源、目的地址，应用协议选择“P2P下载”，执行动作选择“p2p” （此p2p即为刚才创建的限速800kbits/s的数据通道，在此作为具体的动作选项被引用），内网单IP限速0，动作过后“停止匹配”，提交。（停止匹配的意思是指一旦匹配该规则，则所有被识别为“P2P下载”下行流量的数据包将直接根据该规则进行限速为800kbits/s的处理，而不再继续往下匹配其他规则。而不符合该策略定义的其他协议的数据包将不受限制并且通过该条策略继续匹配后面的策略直至被匹配）规则创建成功后，如下图所示：注：此时数据通道与策略均设置完成，注意点击上图中蓝色部分“让所有修改生效”。每次创建或修改数据通道与策略时务必执行此步骤！写入系统并可以被执行的策略如下图所示：至此，策略部分创建并编辑完成，但策略并未即时生效，还需定义“策略计划表”。2)创建策略计划表：系统按周执行策略计划，分别指定每天的策略执行时间。如下图所示：周一至周五上班时间（早8：00-晚18：00）执行worktime策略组，周六周日执行空策略组，不做任何限制。注：不同策略组可匹配不同的执行时间，也可以预先设置节日执行策略（五一、国庆、春节等）。经过以上编辑策略组与编辑策略计划表，此时系统即开始按策略计划表定义的时间执行具体的策略。检验当前时间点策略是否生效的方法如下：点击“监控统计”-“系统概况”-“当前策略”（只有当前策略正确显示，才表明所做的策略组已正常工作，否则请返回策略组与策略计划表两处仔细检查确认），如下图所示：当系统运行中有流量匹配该策略时，通道行右端的流量（丢弃/通过）下方的数值将实时变化，比如3456/7788，表示有7788个数据包被判断为P2P下载协议类的下行流量，在/24网段内所有正在使用的P2P应用下行流量达到策略定义的限速800kbits/s的速率上限后，共有3456个数据包被丢弃。同理：策略行右端的“数据包”数值变化与其相同。附录：一、企业中常用的策略设置需求示范：1、假如要限制内网某个用户的最大下行总带宽为512k，同时要限制他在使用P2P应用时的最大下行总带宽为100k，这样的好处是使该用户在使用P2P下载的同时还有足够的带宽可用，不会影响到其他正常的网络应用。对于上述情形，可以通过以下规则实现：(假设其IP为00)， 10 any - 00 任意协议 允许 单IP限速512 继续匹配20 any - 00 p2p下载 允许 单IP限速100 停止匹配规则创建过程如下三个图表所示：图一：定义00下行可用总带宽为512kb，注意“动作过后”选择“继续匹配”，否则系统将不会执行下一条限制其P2P下行可用带宽为100kb的策略。图二：定义00在使用P2P下载类软件时，P2P下行流量的可用带宽“最大”为100kb。注意：如果对于00，还有其他规则适用，则“动作过后”选择“继续匹配”，否则选择“停止匹配”，以提高系统的处理效率。同时注意要根据数据流向是上行还是下行正确区分并指定源地址、目的地址。(在Drcom_PTP系统中，“上行”指用户端到外网，“下行”指外网到用户端。)两条规则设置完并“让所有修改生效”后，结果如下：（注：随后还需设置好“策略计划表”，针对00的这两条规则才会开始生效。）同理：a、将上述两规则中的00替换成网段/24，则变成对网段内所有IP：每IP的下行总带宽512kb，其中使用P2P下载软件时下行带宽最大可用100kb，非P2P下载的其他应用的下行带宽至少可用412kb ；b、如欲对网络中的个别或少数IP（如特权用户、VIP用户）的下行带宽不做限制，比如9，仅对除VIP用户外的其他IP做限制，则将其放在第一条策略中即可，注意“内网单IP限速”项填0，（0表示不限速），并且动作过后“停止匹配”，该策略的设置如下图所示：二、对迅雷进行准确限速的策略设置：目前，迅雷在通讯时共使用4种协议进行数据传输：迅雷、脱兔、HTTP分块传输、伪IE下载，所以设置策略时要针对这4种协议进行控制，下面的截图是一个示例：（策略生效时的截图，可看出具体的策略设置和生效后的匹配状况）：本例中对内网每个IP设定下行可用总带宽为512kb，然后将迅雷的下载速度限制在40kb/s ,即5kB/s, 规则生效后在当前策略下截图如下:注意: 1.限速迅雷相关的策略为20、30、40、50四条。2.10规则动作过后 要选择 继续匹配，否则下面的限速迅雷的规则一条都不会匹配，也不会生效。3.要对迅雷做准确的限速,最好的办法是先阻断迅雷协议,然后对HTTP分块传输、伪IE下载、脱兔三种协议进行控制。本例中将迅雷和脱兔阻断掉，然后对HTTP分块传输，伪IE下载分别限速20Kbits/s，规则生效后效果非常理想。 三、关于带宽管理的三种机制：带宽管理机制包括：“带宽限制”、“带宽预留”、“带宽保证”。各机制简单的描述如下：带宽限制 - 将某IP/IP组、协议/协议组的可用带宽限制在某个数值，即“最高可用到多少”。带宽预留 - 为某IP/IP组、协议/协议组预先保留出某个数值的可用带宽，即“不管怎么样，就是那么多” 。带宽保证 - 为某IP/IP组、协议/协议组的可用带宽设置某个保证值，即“至少可用到多少”。举例如下：假如某单位出口带宽为10M， 为VIP/关键业务如视频会议“单独划分”出2M，a、如果这2M带宽在数据通道中被定义为“带宽预留”，则表示VIP/关键业务的可用带宽永远