RouterOS限速更高层次运用
信息管理中心何明权
2011-4-19
RouterOS限速更高层次运用
一般我们用ros限速只是使用了max-limit,其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些,下载时速度可以慢一些。ros2.9就可以实现。
___________看下图
max-limit------我们最常用的地方,最大速度
burst-limit--------突破速度的最大值
burst-thershold--------突破速度的阀值
burst-time-------突破速度的时间值
解释一下图片的限制意义
当客户机在30秒(burst-time)内的平均值小于突破速度阀值(burst-thershold)180K时,客户机的最大下载速率可以超过最大限速值(max-limit)200K,达到突破最大值(burst-limit)400K,如果30秒内平均值大于180K,那客户机的最大速度只能达到200K。
这样也就是当我们开网页时可以得到一个更大的速度400K,长时间下载时速度只能得到200K,使我们的带宽可以更有效的
如何限制速度
应许多朋友的要求,这里把如何限制局域网内机器的速度发一下(特指限制外网连接速度)
winbox---queues----simple queues
点“+”,NAME里随便填,下面是IP地址的确定
①Target Address 不管,Dst. Address里填你要限制的内网机器的IP,比如我这里有个1号机器IP 为192.168.1.101,那dst.address里就填192.168.1.101 然后是/32(这里的32不是指掩码了,个人理解为指定的意思)!
②interface里记着要选你连接外网那个卡,我这里分了“local和public”,所以选public
③其他的不管,我们来看最重要的东西拉,Max limit ,这个东西是你限制的上限,注意的是这里的数值是比特位,比如我要限制下载的速度为500K 那么就填入多少呢?500 X 1000 X 8=400 0000=4M。
④另外,很多朋友都有个疑问,到底一般的用户会有多大流量呢?一般的网络游戏,如梦幻西游传奇封神榜等等,其下行在20Kbps以内!最耗网络资源的就是下载-----我们就是为了限制它拉,其次是VOD 点播,一般DVD格式的大约要2M多吧,所以你看情况限制拉别搞的太绝!!!
ROUTER OS DNS缓存加速功能实现
winbox环境下:
ip->DNS->Static->Settings->弹出框内,添上你ISP服务提供商给你的DNS地址,记住,一定要勾选上"Allow Remote Requests"
然后把客户机的DNS地址都设置为RO代理服务器内网的地址,比如我的是192.168.0.1,那就填这个地址。
完善只后的功能
客户端不用改DNS地址,只要随便填写个DNS就可以享受DNS缓存;无论是啥,只要不是内网的IP 就可以还有127.0.0.1这个也不行,呵呵原因自己想去
这样就不需要更改客户端的DNS,否则一个机器一个机器改DNS很麻烦的
方法如下
add chain=dstnatsrc-address=内网网段protocol=udpdst-port=53 action=dst-nat to-addresses=代理服务器IP to-ports=53 comment="" disabled=no
如何映射和回流
映射
winbox----ip-----firewall-----Destination nat
+---- ⑴General 页
SRC。ADDRES |__ __ _ 默认
SRC。PORT |
INTEface all
Dst.address外网ip /32(此32是定值)
Dst.port映射端口(我这里是27015-27016)
⑵ ACTION 页
Action: nat
To Dst. address 192.168.1.253-192.168.1.253(内网提供服务的机器IP)
To Dst. Ports:27015-27016
回流
winbox----ip-----firewall-----Source NAT
+----- ⑴GERENAL页
Src.Address 192.168.1.253(内网提供服务器机器的IP) /32(此32是定值)
src.port
Dst.Address 192.168.1.0(你内网IP的前3位+0)/24(这里是你掩码的换算值)
Protocol 你自己的协议
⑵ Action页
action: nat
to Src.addresses 0.0.0.-0.0.0.0
TO src.ports:27015-27016
一般我们要封掉某个网址,比如https://www.doczj.com/doc/325172024.html,,按常规都是在IP-FIREWALL-FILTER RULES中,添加一个CONTENT=https://www.doczj.com/doc/325172024.html,的DROP策略,但这样做不单止在网址含有https://www.doczj.com/doc/325172024.html,的网址屏蔽掉,一些网站页面中含有https://www.doczj.com/doc/325172024.html,的字符的,也会被无情地DROP,就比如现在我发完这个贴子,这一页我就打不开了(如果我做了上述的DROP策略的话)。
在一些高手的帮助下,我尝试到这条门路,非常的好用。前提是你启用了ROS的DNS服务,并且你的客户端的DNS解释地址超码第一条是你的ROS的IP。然后在ROS的DNS中添加一条:
dns-static里加一条name=你要封的网址,如https://www.doczj.com/doc/325172024.html,(不需觲ww);
ADDRESS=220.181.28.42,(这个是地址是网易的IP,如果直接地址栏输入IP访问会访问到一个禁止访问页,你可以任意设一个地址,如192.168.10.1,但最好是一个有响应的地址)。就这样简单了,那么不论输入https://www.doczj.com/doc/325172024.html,或https://www.doczj.com/doc/325172024.html,都会转到网易的禁止访问页
此主题相关图片如下:
DNS缓存加速的功能
winbox环境下:
ip->DNS->Static->Settings->弹出框内,添上你ISP服务提供商给你的DNS地址,记住,一定要勾
选上"Allow Remote Requests"
然后把客户机的DNS地址都设置为RO代理服务器内网的地址,比如我的是192.168.0.1,那就填这个地址。
完善只后的功能
客户端不用改DNS地址,只要随便填写个DNS就可以享受DNS缓存;无论是啥,只要不是内网的IP 就可以还有127.0.0.1这个也不行,呵呵原因自己想去
这样就不需要更改客户端的DNS,否则一个机器一个机器改DNS很麻烦的
方法如下
add chain=dstnatsrc-address=内网网段protocol=udpdst-port=53 action=dst-nat to-addresses=代理服务器IP to-ports=53 comment="" disabled=no
三层交换机ROS的做法
假设500台机器划分为5段,每段机100台,分别的网段是192.168.1.X----192.168.5.X
ROS的内网地址就设置为192.168.0.1 三层交换机的WAN口地址设置为192.168.0.2
ROS 配置
ROS内网地址
1 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN
ROS 做地址隐藏要将全部节点的IP都要包括进去,所以就来来个
src-address=192.168.0.0/16 action=masquerade
给ROS指回头路由到三成交换机
ip route add dst-address=192.168.1.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.2.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.3.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.4.0/24 gateway=192.168.0.2
ip route add dst-address=192.168.5.0/24 gateway=192.168.0.2
三层交换机配置
由于三层交换机各厂家配制命令不一样,下面只说大致配制步骤
先给三层交换机配制WAN口地址192.168.0.2
静态网关0.0.0.0 0.0.0.0 192.168.0.1
然后新建立5个VLAN,分别是VLAN100 VLAN101 VLAN102 VLAN103 VLAN104,其个VLAN的IP 地址分别为192.168.1.1 ,192.168.2.1,192.168.3.1,192.168.4.1,192.168.5.1
然后根据需要分配每个VLAN分配的端口