pa_htb+tos优先设置说明.doc

流控大师结合Ros路由器实现HTB标记优先的调试说明（适用于单线光纤网吧）Xzcsj 2010-05-29 在拿到模板后，我们要求首先能把ros配置上网。Ros版本必须为3.22或以上版本，可以来ftp:36(pa,pa)下载。Ros的基础部分在这里就不再详细讲述。总之，基本的安全策略，如arp绑定，外网禁ping之类的工作还是要做好。接下来主要看pa和ros优先策略的配置部分。首先，务必确认pa内外网配置正确。在topIP中，必须看到全部内网机器。如果出现大量外网IP地址，那么你的pa内外网顺序肯定是错误的。模板中我们提供了针对intel网卡的em0对外，1对内，以及1对外0对内两套模板，再倒入时不要选错。版本必须升级到0514以后的版本。如果基于Freebsd8，可直接升级至0527。如果基于FB7的内核，则首先应将系统升级至0514，再将特征库升级至0527。将pa模板倒入系统，再次提醒，注意网口顺序：0外1内或0内1外，选择符合要求的模板。此模板只需要加入服务器IP组就可以了。服务器ip组是指除了所有客户机、路由器之外的任何一台机器，包括无盘服务器、游戏更新服务器和收银机等。这里网桥带宽不要填写，否则会激活pa新版本自身的优先机制。该机制可能与ros中的优先机制相冲突。需要注意的是，现在下行部分由pa通过标记指挥ros完成，这样可使下行带宽利-用率和可靠程度更高，而pa则执行上行带宽控制、标记指令发出和部分行为下行带宽限制，大家不必担心。这里是伪IP防御，需要输入网吧所存在的整段IP。比如-54。完成之后确认无误，可选择下面的“打开”菜单，激活伪IP防御。这样针对保护路由器，防止arp、DoS内网洪水攻击，路由欺骗攻击是很有效的。Tos标记设置，这里务必选择为单线tos，目前双线tos有标记不成功的现象，后续版本即将解决。需要注意，数据通道内的“p2p上行限制”，建议该值为实际能跑到的总带宽的1/20。比如某网吧实际带宽为20兆，那么该值就需要设置为1000。如某网吧预定带宽为50M，实测为48M，那么该值就必须为2400，而不是2500。策略中就无需再动了，无论多大带宽。需要动的，也就是将“下载类”带宽进行改动。如该网吧实际带宽为20兆，我们允许在人少时下载速度达到15兆，那么就将这个值设置为人少时允许单机下载的最大值。该值不能超过ros htb通道中的下载带宽最大值(tos6)。设置完成后别忘记激活策略。以及连接数限制策略，激活。默认tcp/udp/总连接数分别为2000/2000/2500，完全可以满足任何需求。接下来就是ros的配置部分，网吧不同带宽的设置，也就是要从这里开始。首先用ftp进入ros，上传这两个脚本。 在New Terminal命令窗口中，用import T和import M两个命令分别倒入这两个脚本。无倒入顺序要求。分别提示successfully即倒入成功。在防火墙（IP-Firewall-Mangle）中可以看到针对tos标记的定义。这里看看即可，无须改动任何部分。接下来开始针对带宽进行调整，在Queue-Queue-Tree树中，可以看到已经做好的通道和带宽定义，这里是针对20兆来设计的。我们来解释一下这些数字的定义，就好对网吧实际带宽进行调整了。接下来的内容比较重要！比如网吧实际带宽确实能跑到20兆，大家可以看到，tree中有3个部分：第一个部分命名为Netgame，带宽无限制。这部分是专门留给游戏用的，标记为tos1。与pa众网络游戏的标记定义相同，这说明：ros接到pa的指令：将所有标记为1的行为，最优先进出。pa的识别能力很强的，利用这一点，可以精确识别出每一款游戏行为（私服处外，下述），并游戏数据包做好标记上交给ros。ros则根据这些标记，来判断行为的优先级。此为最先进的标记优先，准确率99.9% 以上，比目前任何端口优先、小包优先高得多。端口优先和小包优先准确率则不足50%。 第2部分，为网页、下载等等一切常规行为的总带宽。第3部分，则为无法标记的“未知应用”保留带宽。这部分带宽会和游戏部分公用，与第2部分的网页，下载等带宽分离。由于私服姜氏用此部分带宽，因此我们针对单机和ros，给其限定一个足够值即可。比如pa中的未知应用上下行最大300k，完全足以应付任何变态或仿盛大、传奇3，传世私服使用。而更多的未知应用，我们就不必去考虑了，pa官方会及时更新特征库以保证正确识别。需要计算的部分：下载，电影，IE等常规行为，建议不要超过总带宽的75-85%，带宽越大的网吧，这部分带宽可以设置得更高，比如16M（这里是举例数字，可能不准）。剩余空间保留给游戏，私服等。私服等未知应用建议不要超过剩余带宽的1/3。因为剩余带宽除了留给游戏外，还要考虑部分数据包的抛弃尽管由路由器控下行，抛弃量会低很多。在通道内，可以按需设置，如网页，下载等，最大(Max limit)不超过15M，保留一点空余供大家去抢。需要说明的是，ros会严格按照标记的数字来确立优先关系。即便下面的web视频，下载等完全沾满带宽，只要有客人开网页，那么瞬间网页将会立即抢回所需带宽，待网页打开后，该部分带宽立即归还于下载，电影等，由于这一过程很快，下载，看电影者可能不会有什么感觉。这就是利用了优先策略后，很多小带宽网吧居然也能看电影了，无非是缓冲一下，不至于看不动，而网页和游戏则不卡的根本所在。保底值：limit at，这个是每个行为所适用带宽的最低保证值。我们看一看tos6，这里是供下载使用的。即便某一时刻，web视频和p2p电影沾满所有带宽，那么只要有人下载，即可立即夺回1M共下载使用，不至于一点都下载不动。保底值可以由技术员按照网吧实际所需进行调整，不可太大，每个保底不能超过这个第2部分通道总的1/6（超过这个直，所有的保底和在一起就达到了该通道的最大值，网页等靠前的部分就毫无优先可言了）。如果这个数字不填写的话，表明该行为带宽可以完全被上一优先级的行为全部抢走。一切都由技术员根据实际环境按需设置即可。同以往相比，过去的保证、带宽借用策略则浪费了很多带宽，因为网页通道大多数不被使用的，而这部分带宽早先是不能被其他行为所用的。因此如今的优先策略，才是完美利用带宽的最好办法，可以观察出，网吧无论人多人少，带宽都是临近满的状态，这样就形成了人少时下载飞快，人多时不损失任何行为的效果，而游戏，网页等始终不会卡。接下来我们实际操作，把带宽改为50兆策略：第2部分带宽可以设置为42M。约为实际带宽的84%。实际带宽越大的网吧，这部分值可以设置的相对更高一些。未知行为保底1M，以确定私服不卡.最大3M，完全够用。50M减去2，3部分的剩余带宽，就留给游戏和少量抛弃数据包使用了。修改网页份通道。修改web视频等分通道。修改其他下载（ie右键另存为）通道，因为50兆相对充足，这里我把保底值略微放大一些，不至于看电影的把带宽沾满了，ie右键保存会一点也下不动。同样，下面的迅雷下载（tos6）也是这样调整。这里是游戏服务器使用的，人少时可以彪满10M疯狂更新，人多时1M也能足够收费机使用。全部设置好时的样子。可以看到，带宽疯狂飙升，但决不会