1.10 如何设置端口限速和网络连接数,并查看端口/IP流量
1. 每IP流量
根据二八理论,即80%的带宽被20%的人占用来计算,而且占用的带宽大多为下行带宽,上行带宽一般选择下行带宽的一半或者2/3左右。
例如运营商带宽为10Mbps,带机量100台PC,80%的带宽就是8Mbps,20%的人就是20个人,那么8Mbps*1000=8000kbps(实际上应该乘以1024,这里简单以1000计算),8000kbps/20=400kbps,则理论值为每IP需要下行限速400kbps,上行值为200~300kbps,当然该计算值是理论值,需要根据实际的网络使用量来适当变化。如果是ADSL宽带类型客户,则上行带宽建议为100kbps,且不推荐允许每IP通道借用空闲的带宽。如果企业、酒店等环境,平时使用网络的时间或者占用的流量不是很大,那么可以适当将限速值调高,如下行600kbps,上行400kbps,并开启允许每IP通道借用空闲的带宽。如网吧环境,带宽使用量较大,则需要增加带宽或者较少带机量来提高客户网速的体验,保证游戏和视频的正常工作。网吧一般建议每IP限速下行800kbps,上行500kbps,开启弹性带宽功能,即允许每IP通道借用空闲的带宽。双WAN设备需要针对不同WAN口计算不同的限速值予以,最终主机获得的带宽为双WAN带宽限速总和。
2. 网络连接数
一般建议每IP设置在1000~2000即可保证正常应用访问。
3. 查看端口/IP流量
(1) 查看每个物理端口流量:系统监控→流量监控→端口流量。
(2) 查看局域网内各在线主机通过WAN口的流量:系统监控→流量监控→IP流量
(3) 实时查看WAN口流量:系统监控→流量监控→流量监视
1.11 如何某些应用
1. 某些游戏(通常采用封游戏端口的方法)
以诛仙游戏(通信端口为29000,某款游戏的通信端口需要抓包获取,如何抓包请参见“1.16 如何抓包”)为例介绍:
(1) 开启防火墙功能(页面向导:安全专区→防火墙→防火墙设置)。
(2) 设置出站通讯策略:添加如下规则,禁止所有IP发往目的端口为29000的UDP报文通过(页面向导:安全专区→防火墙→出站通信策略),如下图所示。
2. 访问某些网站
(1) 通过设备的网站过滤功能实现:
在路由器上设置让局域网内的主机仅能或不能访问固定的某些网站(页面向导:安全专区→接入控制→网站过滤)。
(2) 通过防火墙的出站通信策略实现部分用户无法访问部分网站。
首先通过ping需要过滤的网站域名,获取到该网站的服务器地址,然后再添加规则。如:禁止源IP地址范围为192.168.1.2~192.168.1.200的客户端访问目的服务器122.227.209.17 目的端口为80的TCP报文通过。(注意:部分大型网站在某个地区有多个地址,或者在多个地区都有服务器地址,可以尝试禁止目的服务器地址所在的网段后,再通过上述办法找出能ping通的其他服务器地址,再添加规则过滤即可。)
3. 某些IP不能上
• 勾选仅允许DHCP服务器分配的客户端访问,不在路由器DHCP服务器分配的客户列表中的用户将无法访问(页面向导:安全专区→接入控制→IPMAC过滤)。
• 勾选仅允许ARP静态绑定的客户端访问,将客户端ARP绑定为静态表项,不在ARP静态绑定表中的客户端将无法访问(页面向导:安全专区→接入控制→IPMAC过滤)。
1.12 如何划分VLAN,实现单臂路由,禁止网段间互访
1. 组网图
2. 组网需求
如上图所示,无管理Switch A连接ER路由器的LAN1接口,有管理Switch B连接LAN2接口,实现Switch A下所有客户端获取到VLAN2的地址,Switch B下存在两个VLAN(VLAN3:192.168.3.0/24,VLAN4:192.168.4.0/24)对应两个部门,部门之间禁止互访。
3. 配置步骤
(1) 新增三个VLAN(页面向导:接口设置→VLAN设置→VLAN设置):
• VLAN2:IP地址填192.168.2.1(即VLAN2的网关地址),子网掩码:255.255.255.0。
• VLAN3 IP为192.168.3.1,VLAN4 IP为192.168.4.1,子网掩码均为255.255.255.0。
(2) 编辑LAN1口配置(页面向导:接口设置→VLAN 设置→Trunk口设置),双击LAN1口所在条目进入编辑状态,将LAN1口的PVID和允许通过的VLAN均改为2。(如果其他LAN口同样接无管理设备实现类似功能可参考此步。)
(3) 编辑LAN2口配置,允许通过的VLAN改为3~4。Switch B的上行端口设置为Trunk,允许VLAN3、VLAN4通过即可。(如果有管理交换机下存在更多的VLAN,则只需添加到允许通过的VLAN中即可。)
(4) 如果局域网内用户通过动态DHCP获取对应网段的IP,需要通过页面向导:
接口设置→DHCP设置→DHCP设置,添加各个VLAN网段对应的DHCP地址池。
(5) 配置VLAN3和VLAN4网关不能互访,在设备防火墙功能的出站通信策略中增加一条规则,禁止源地址范围为192.168.3.2-192.168.3.254访问目的地址范围为192.168.4.2-192.168.4.254的所有服务.
