m0n0流量控制.doc

M0n0流量管理之我见最近做了m0n0的流量管理，通读了论坛所有关于流量控制的帖子；并和的站长讨论后实施了如下设置，目前系统正在接受测试，欢迎和我一样喜欢m0n0朋友批评指教。下面谈谈我的理解和看法。说明：1、模型是我个人的理解如有错误欢迎告之。2、一些理解是我和analyst讨论获得的，这里先谢过了。3、一些协议的说明：（以下内容摘自世纪安全网/）TCP：这个就不用多说了UDP：这个也不多说了。大部分P2P软件和TM软件都优先用这个协议ICMP：是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的子协议，用于在IP主机、路由器之间传递控制消息。控制消息是 指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。常用的ping、tracert命令就是基于这个协议。AH：IPsec认证头协议（IPsec AH）是 IPsec 体系结构中的一种主要协议，用来为 IP 数据包提供数据完整性、数据源认证，并提供保护以避免重发。一旦建立安全连接，接收方就可能会实施后一种服务。ESP：IPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供一种混合的安全服务。IPsec ESP 通过数据加密以及在 IPsec ESP 的数据部分设置加密数据来提供机密性和完整性。依靠用户安全请求，这个机制既可以用于加密传输层段（如 TCP、UDP、ICMP、IGMP）也可以用于加密整个的 IP 数据报。封装受保护数据是非常必要的，如此可以为整个原始数据报提供机密性。GRE：通用路由封装（GRE）定义了在任意一种网络层协议上封装另一个协议的规范。在大多数常规情况下，系统拥有一个称为有效载荷或负载的包，需要将它封装并发送至某个目的地。首先将有效载荷封装在一个 GRE 包中，然后将此 GRE 包封装在其它某协议中并进行转发。这个外部的协议即为发送协议。下面是我的流量管理的设置：我没有按照论坛上其他人手工设置流量控制，而是参考BSDfan的流控精灵-管理、修整数据流的好帮手/viewthread.php?tid=247&extra=page%3D2一文和m0n0的帮助文档http:/doc.m0n0.ch/handbook-single来完成设置的。先说说我理解的流控模型吧：一、管道示意图：红代表上行，绿色代表下行，路由器创建的管道LANWAN掩码：这里的掩码和我们在IP里设置的没任何关系，它是用来区分管道是被通过路由的IP共享管道还是创建新的管道。第一种管道模式：不设置掩码。管道是被所有建立连接的IP共享管道，也就是说管道内的流量就是通过路由器的总流量（只有上行和下行两个管道）。第二种管道模式：设置掩码。M0n0会给每个连立了连接的IP动态的自动创建一个新的管道。新的管道流量按照设置创建。这就是大家要搞的单IP限速。（每个IP都有两个上行下行管道，如果你有20台机器，那就有40个管道20个上行管道，20个下行管道）。我采用的第一种管道模式，我创建的管道的流量是总流量。二、队列示意图：关于这个问题，我和群里不少朋友探讨过，大家意见都不一致。我只谈谈我的看法（这个就是所谓的小包优先等类似的问题）。深蓝表示50%的权重，蓝色表示30%权重，浅蓝色表示20%的权重。上行管道示意图个人理解：这个队列好比上行管道的横截面。我们一某一次的转发为例：比如我们设置0100的小包50%的权重，那么这样的小包可以一次被转发出去，而大包则需要被分片，每个分片都要转发，转发的次数增加了。看起来好象优先权低了。所以并不一定权重越大越优先。只是权重大的转发次数可以减少到最小。三、规则：规则和队列不同，规则就好比是Switch case流程控制结构。关于这个大家自己看下书吧。形容起来比较烦琐。规则的顺序影响包的优先权。我要完成的任务：1、包优先，要求在流量比较大的情况下，或是有人用p2p的情况下，打开网页和玩游戏基本上不受影响。2、当连接的客机比较多的时候，希望P2P类的软件不能强占别人的带宽。3、当连接的客机比较少的时候，能充分利用带宽，允许P2P软件占用大量带宽。我的配置步骤如下：一 、开防火墙流量管理流控精灵（流控精灵向导）我的带宽为城网100M，互连网是10M，所以我的设置为下图：如果大家的带宽为下行8M上行为2M的ADSL可以设置为下行8192KBPS上行2048KBPS二、点管道：可以看见m0n0自动为我们创建了90%总速度的管道。默认没有设置掩码，m0n0运行的时候所有IP连接共享上下行管道。上行的配置图：注：如果要选用为每个IP设置速度（也就是我说的第二种管道模式），掩码应该选择source（源）下行管道应选择destination（目的）三、队列：队列也有掩码，其作用是为所有连接IP动态创建队列。第一种方式：不设置队列的掩码。所有IP共享一个队列。第二种方式：设置队列的掩码。每个IP动态创建一个队列。我选择的第二种方式：设置掩码，好处是正在用P2P的客机自己打开网页也不会受太大影响。队列设置图：我自己将描述改成中文了。大家可以自己改。最后来看规则：其实真正决定优先与否的关键就是规则的创建和顺序。流量精灵向导创建的规则图：因为图太长，所以只截了一部分，其中协议部分开篇已经讲叙，这里不再多说。在这里可以看到第一个规则是TCP的ACK规则。注：ACK是确认的意思。（以下择自互连网作者出处不详，谢谢作者。虽然书上有，不过不想打字，哈哈） 在TCP/IP协议中有2组序列号和一些标志，可以参见IP报格式。典型的建立TCP连接的过程： C: SYN(1000) S: SYN(2000),ACK(1001) C: ACK(2001) 以上就是TCP连接的“三握手”建立连接阶段，解释如下： 1，客户想与服务器建立连接，客户用的“序列号”是1000，表示我现在发送的是1000号分组。 2，服务器愿意建立连接，回答1001表示期望接收的下个组号是1001号分组信息。其SYN（2000）与第一步相似，表示服务器以2000为信息开始的分组号。 3，客户确认，表示愿意接收服务器以2001序列号标志的分组。 建立连接后就可以互相“同时”发送数据， C: SYN(1001),ACK(2001) /设数据量为100(bytes) S: ACK(1101) C: SYN(1101),ACK(2001) C: SYN(1201),ACK(2001) S: NAK(1101) /接收错误，要求从1101号重发。 C: SYN(1101),ACK(2001) C: . S: .可见权重大的包并不见得一定优先通过，规则和规则的排列顺序决定了包是否优先。ACK规则图：（只列出关键部分）下行的规则类似，大家自己研究吧。不过有一点是要注意的：我不赞同网上流传的将包分成0-499、500-799、800-1199、1200-1500等这样的小包优先的方法。这样做的结果是会导致无论小包有无填满权重对应的队列，大包都要按其权重对应的队列进行传输。同时小包也无法插入到大包对应的权重队列中，势必会造成队列的浪费或等待，典型的反映是ping值很高。当然这只是我个人的推论，大家可以验证一下。我的建议是对m0n0自动创建的规则