公司网络流量控制
近来公司上网很慢,查看一下出口流量,2M的流量几乎占満。查看一下防火墙LOG,发现P2P的下载有很多,难怪会很慢。我分析了一下有以下的几种流量在占用出口带宽
1.用Emule,eDonkey,BT等p2p软件下载
2.用迅雷下载
3.FlashGet等正常下载软件下载
4.浏览网页,收发mail等
故对前两种流量的限制是解决问题的关键,对前两种流量的限制可用以下几种途径来解决
1.在公司的cisco 3550上做端口限速,QoS等
2.在公司流量出口之前加一台LINUX Router, 在其上做iptables + ipp2p 的限定
3. 在公司Netscreen 100上做policy,限制前两种的流量
经过分析以后,我们知道,对于第一种解决方案,我们对每个VLAN进行限速从而达到出口的解压。这样做虽然出口缓压了,但每个VLAN很容易达到上限,只要每个VLAN有一个在用前两种的软件在下载,其他的立刻会感受到网络很慢。所以这个方案不能从根本上对前两种的下载做限制。对于第二种方案,我没有去部署,只是觉得外国人在linux上开发的ipp2p虽然对一些知名的p2p软件能够限制,但对国人开发的迅雷却不一定有用,因为迅雷不仅仅是通过p2p来下载,所以这种方案由于实施起来有点麻烦(还要在前面加台主机),暂不采用。对于第三种方案,由于是在固有的设备上做限制,实施起来会容易些。
由于P2P软件下载时,基本上不用http的80端口,所以我们在防火墙上只允许我们需要的流量的通过,其它的不需要的TCP,UD主P流量则全部屏蔽掉。这样做确实限制了大部分的P2P流量,但一些迅雷下载却不能阻止。因为,迅雷软件在启动下载的时候,它会连接它自己的服务器进行资源搜索,之后可以同时对几个站点进行HTTP 80下载,这样的流量还是很大。经过抓包发现,它连的这些迅雷服务器的地址一般都210.22.12.0/24范围之内,于是我封了对这些IP地址的访问。用迅雷试了一下,果然只有一个资源在下载。
从而搞定收工。
Tags: netflow, 控制, 流量