|
[前言]
Quality of Service,QoS是讓網(wǎng)路順暢的重要課題���,也是小弟最感興趣的�。
現(xiàn)在普遍大家的頻寬越來越大���,但如果沒有妥善的規(guī)劃頻寬����,還是可能會讓自己的網(wǎng)路塞車���、不順��。
比如說現(xiàn)在明明您正在使用視訊����,但卻是P2P用掉大部分的頻寬����,結(jié)果可想而知����。
電腦不會這麼聰明知道什麼服務(wù)對您來說是重要的�,什麼是可以等的�,甚至什麼是可有可無的。
這一切都必須先跟電腦約法三章�����,先約定好頻寬使用的原則��,這就是所謂QoS的概念了�����。
實(shí)現(xiàn)QoS手段很多�,常見的有”頻寬管理”、”優(yōu)先權(quán)管理”�、”擁塞控制管理”、”流量策略與整型”等�����。
本篇要介紹的是RouterO中S的HTB(Hierarchical Token Bucket)。
HTB可以讓使用者簡單的建立一個優(yōu)先順序的隊列�����,各種服務(wù)在隊列中有不同的優(yōu)先權(quán)���,進(jìn)而達(dá)成QoS�����。
在RouterOS中其實(shí)有另一個簡單的Simple Queues(請看pctine的分享)可以使用�。
但Simple Queues是對整個IP或網(wǎng)段做頻寬管理���,沒有辦法做到HTB以封包來做管理�����。
所以如果要很精細(xì)的控管網(wǎng)路各流量優(yōu)先順序的話��,HTB的Queues Tree是唯一的選擇了�����。
[基礎(chǔ)認(rèn)知]
在進(jìn)一步的介紹HTB實(shí)作前�����,我們必須先瞭解資料如何進(jìn)出我們的RouterOS�。
瞭解Packet Flow這對於學(xué)習(xí)ROS的Firewall與mangle等很重要。
1.”Download”
當(dāng)資料下載的時候�,WAN端就是來源端,LAN就是目的端�����。
資料會從RouterOS的WAN interface進(jìn)入���,而從LAN interface離開。
換句話說 in-interface就是WAN���,out-interface就是LAN�。
WAN使用的是Public IP���,LAN端使用的是Private IP��。
所以要將資料由WAN送到LAN的某機(jī)器時����,還必須將外部IP轉(zhuǎn)換為內(nèi)部IP。
這轉(zhuǎn)換就是所謂的Destination Network Address Translation,DNAT��。
2.”Upload”
當(dāng)資料上傳的時候�����,LAN端就是來源端�����,WAN就是目的端。
資料會從RouterOS的LAN interface進(jìn)入�,而從WAN interface離開�。
換句話說 in-interface就是LAN�����,out-interface就是WAN�。
同樣的,這時必須要將內(nèi)部IP轉(zhuǎn)為外部IP�����。
這轉(zhuǎn)換就是所謂的Source Network Address Translation,SNAT�。
3.另外在建立連線的時候還必須有port的對接�����,以我們?yōu)g覽網(wǎng)頁來說。
我們會連到網(wǎng)頁伺服器的80port����,同時自己的電腦會開啟一個大於1024號的port�。
網(wǎng)頁伺服器的IP就是來源IP(Src.Arrdess),80 port就是來源port(Src.Port)�。
我們自己電腦的IP就是目的IP(Dst.Address)����,我們開啟的port就是目的port(Dst.port)����。
這來源IP,來源port與目的IP����,目的port�����,合起來建立了一條連線(Socket pair)���!
以下是mikrotik原廠的說明圖����。(原廠的說明)
[標(biāo)記,Mangle]
我們必須將封包先做標(biāo)記(Mark)���,然後再依照這些標(biāo)記來做後續(xù)處理。
所以封包是否標(biāo)記正確����,會直接導(dǎo)致後面QoS的成敗。
小弟努力找了很久的資料���,網(wǎng)路資料關(guān)於ROS標(biāo)記的細(xì)節(jié)並沒有很詳細(xì)的說明���,大都是直接操作而已。
在標(biāo)記封包時����,我們主要會使用到五種chain:prerouting����、forward����、postrouting�、input�、output��。
以下是小弟自己的結(jié)論,我就簡單講了��。
1.prerouting:用來標(biāo)記下載的封包��,但無法以內(nèi)部IP為範(fàn)圍來標(biāo)記。因為prerouting是在
DNAT(外部IP轉(zhuǎn)內(nèi)部IP)之前�����。在使用prerouting時記得搭配in-interface來使用�。
2.postrouting:用來標(biāo)記上傳的封包,在使用postrouting時要搭配out-interface使用��。
3.forward:用來標(biāo)記內(nèi)部特定IP的封包使用,尤其是用在標(biāo)記內(nèi)部特定IP下載封包����。
在標(biāo)記封包時��,最常使用的就是forward了,因為搭配interface與Port就可以輕易的標(biāo)示出上下載��。
這裡有篇文章簡單的說明了Forward的使用:ros標(biāo)記細(xì)節(jié)解讀(ros mangle)����,大家參考一下。
不過小弟個人不太常用forward����,總覺得似乎用forward比較不精確����,這有空再來實(shí)驗看看����。
4.input:直接進(jìn)入ROS而不是進(jìn)入LAN主機(jī)的封包,這個比較少用��。
5.output:直接由ROS發(fā)出���,而不是由LAN主機(jī)發(fā)出的封包����,比如如果您有用ROS的DNS代理功能��。
區(qū)網(wǎng)的電腦就不會直接向WAN做DNS的請求��,而是向ROS請求���,然後ROS再向WAN請求�����。
這時DNS封包就是直接由ROS發(fā)出���,所以標(biāo)記DNS封包時要使用output這條鍊���。
6.所以如果您是單純的向WAN端的Server上下傳資料��,標(biāo)記的方法如下:
A.標(biāo)記下載:prerouting+Src.Port+in-interface=”您的WAN接口”。
或:forward+Dst.Address(要標(biāo)記某範(fàn)圍IP才需要)+Src.port+in-interface=”您的WAN接口”���。
B.標(biāo)記上傳:postrouting+Dst.Port+out-interface=”您的WAN接口”�。
或:forward+Src.Address(要標(biāo)記某範(fàn)圍IP才需要)+Dst.port+out-interface=”您的WAN接口”�����。
如果是要標(biāo)記自己LAN的Server封包���,則又略有不同�,容後再敘。
[Winbox操作]
以下以標(biāo)記瀏覽網(wǎng)頁的封包(tcp 80port)為例。
開啟Winbox登入ROS��,選擇IP–>Firewall–>Mangle–>新增規(guī)則。
雖然有網(wǎng)友說不需要先標(biāo)記連結(jié)再標(biāo)記封包��,但我們還是按部就班來�����,先標(biāo)連結(jié)再標(biāo)封包���。
1.先來標(biāo)記”下載”連結(jié)。
由下圖可以知道�,下載的封包是從我們WAN進(jìn)入,從LAN離開��。
所以標(biāo)記下載時in-interface要選WAN或者out-interface要選LAN����。
因為沒有標(biāo)記特定網(wǎng)段的需求�����,所以chain選prerouting����。
如果要標(biāo)記某個網(wǎng)段下載的話���,就選forward,然後把網(wǎng)段地址打在Dst.Address.
Protocol選tcp����,因為是去瀏覽網(wǎng)頁,所以資料會從遠(yuǎn)端來源的80port送過來��,所以選Src.Port=80��。
FTTH是小弟的PPPoE撥號介面��,所以in-interface選擇您的PPPoE介面。
2.Action選擇標(biāo)記連結(jié)�����,連結(jié)名稱自己取�����。
Passthrough要打勾,表示這標(biāo)記後續(xù)還要再處理�����,所以要把這封包繼續(xù)往下傳。
3.再新增一個Mangle規(guī)則,chain跟剛才一致。
Connection Mark是我們要標(biāo)記的連結(jié)����,所以選剛剛的那個連結(jié)名稱。
4.Action選擇標(biāo)記封包�����,封包名稱自己取。
因為到這裡就算標(biāo)記完成,所以Passthrough不要打勾�!
5.再來網(wǎng)頁標(biāo)記上傳�,如果未來沒有特別要保障網(wǎng)頁上傳的話�����,其實(shí)可以不用標(biāo)記。
chain選擇postrouting,與prerouting不同的是��,這裡如果要標(biāo)特定網(wǎng)段是可以
在Src.Address輸入要標(biāo)記的範(fàn)圍��。
6.以下步驟跟剛剛一樣,另外不要忘記還要再新增一個規(guī)則來標(biāo)記封包。
7.如果標(biāo)記正確的話,應(yīng)該可以在Statistics統(tǒng)計的頁面看到流量。
但有流量不要高興的太早���,還是必須自己再多方驗證看看這流量是否正確���。
有時我們前面標(biāo)記參數(shù)設(shè)錯的話�,我們可能標(biāo)示到的不是我們想要的封包。
8.大家可以反覆上面的步驟�����,將自己重要的封包都標(biāo)記出來���。
這些重要的封包都取好名字以後,等下要它們排隊就簡單了^^
在Queues tree的規(guī)則裡�,封包是以mark package的名字來識別�,
而不是用mark connection的名字�,所以標(biāo)記完連結(jié),務(wù)必要記得標(biāo)記封包����!
9.在標(biāo)記封包的時候有一個好用的頁面可以輔助我們,在Firewall的”Connections”頁面��。
可以自訂很多條件來過濾(Filter)觀察所有的連線�,從這裡可以檢查自己的標(biāo)記是否正確��?
[區(qū)網(wǎng)內(nèi)部Server的標(biāo)記方法]
對小弟來說標(biāo)記server的封包才是最重要的�����,因為小弟自己有很多服務(wù)必須保障����。
比如說NAS必須提供影片�,IPCam必須提供監(jiān)視畫面�����,網(wǎng)路電視盒可以讓我在外面看第四臺….
當(dāng)我們向WAN的Server連線時�����,對方預(yù)設(shè)的連接Port是固定的�����,但我們的連接port是隨機(jī)的���。
但當(dāng)我們自己擔(dān)任Server時���,我們預(yù)設(shè)的連接Port是固定的,對方的連接Port是隨機(jī)的。
下圖為以自己區(qū)網(wǎng)的網(wǎng)頁伺服器為例�,預(yù)設(shè)的連接Port固定為80。
所以在標(biāo)記的時候要稍微換個方式����。
Server要標(biāo)記連結(jié)的話,跟前面Client標(biāo)記方法不同�,詳如下:
1.標(biāo)記下載:prerouting+Dst.Port+in-interface=”您的WAN接口”。
或:forward+Dst.Address=”server IP”+Dst.port+in-interface=”您的WAN接口”�。
2.標(biāo)記上傳:postrouting+Src.Address=”Server IP”+Src.Port+out-interface=”您的WAN接口”。
或:forward+Src.Address=”Server IP”+Src.port+out-interface=”您的WAN接口”���。
|
