djsry 发表于 2013-1-22 15:11:06

关于ROS使用Web-Proxy后Mangle的问题(解决了)

本帖最后由 djsry 于 2013-1-22 16:59 编辑

已经解决,感谢各位大大帮助,谢谢。


在这个方案上折腾我一段时间了,由于基础知识不足,实在是无法解决,发到这里烦请各位大大帮忙分析一下,看看有没有更好的方案,谢谢。

网络环境如下:
应用场所:广东某网吧,服务器全部算在一起320台
现有网络状况:
电信100兆(对等)接入,ROS5.19。
网络整改目标:
原电信100兆降低为电信40兆(对等)接入(为了省钱),再拉2条20兆电信ADSL光纤。
2条20兆电信ADSL光纤由于每条线路的上传只有2兆,所以只做WEB、网络视频、下载等流量的分流。
剩余的所有应用分流给那条40兆。

绊脚石:
由于这边某部门限制,在网吧内部装了一个盒子,使用端口镜像检测网站及QQ数据,目前只能用单条电信光纤。所以另外拉的那2条20兆ADSL光纤是非法的,如果被查到会被封停。

自己想的简单解决方案:
使用ROS的Web-Proxy,伪装访问网站的数据,让该部门无法正常检测,达到逃避检测、降低光纤费用的目的

应用结果:(悲剧了:dizzy: )
为保证整改方案的顺利进行,先在单电信光纤的环境下进行了测试。
在实施HTB时,发现因为使用了Web-Proxy,ROS根本无法正常标记出基于80端口访问站点的数据。

在单条电信100兆光纤的环境下,自己尝试了在使用Web-Proxy之后的二种标记方式:
一,标记数据起始地址的方式
a.PRE标记WAN口,凡从WANIP发出到目的端口80的数据,POST标记为上传。
b.OUT标记LAN口,凡从LAN口出去的起始端口为80的数据,PRE标记为下载。
二,换了一种思路
a.把计划分流的网络视频,下载等流量先标记出来;
b.再标记其他任意剩余的流量
c.剩余的未知数据使用NO_Mark标记(通过实际测试基本确定为Web-Proxy数据)

悲剧的开始:
使用第一种标记方式,数据能正常标记出,在Queue Tree下进行限速也正常。悲剧在于限速后LAN口与WAN的数据完全不对等,WAN进入流量有40M,但从LAN出去的才30M左右,出现差别的原因是被限速了。
使用第二种标记方式,数据能正常标记出,在Queue Tree下进行限速也正常。LAN与WAN的数据也基本对等。但一开迅雷下载,它居然把使用NO_Mark标记Web-Proxy的数据也给占了。结果导致原标记的下载用了40M(限速为40M),用NO_Mark标记Web-Proxy的数据也用了近40M(限速为40M)。迅雷里显示下载达到8.3M/S。不能达到限速的目的。

请教各位大大
使用Web-Proxy后,还有什么更好的标记方法,能够将WEB数据给正确的标记出来,谢谢了。
还有一种思路,就是在ROS 与交换机之间做一个桥,在桥上做WEB代理,没有经过测试,不知道能不能逃避内部端口镜像的检测,哪位大大能够理论指导一下就好了。

写的比较乱,还请谅解。

2013-01-22|16:22
新进展:
已经能够正常标记任何流量(未使用NO-MARK),包括Web-Proxy和迅雷流量。
新进展带来的新问题:
在Queue Tree 中标示UDP和TCP的下载,使用Queue Types中建立的PCQ 20M限制方案。不能完全限制迅雷(待会我会截图)
Queue Types PCQ 限速策略(目前还是单100兆光纤)


Queue Tree 并没有限制住迅雷,是不是要在Max Limit 中填写单项最大值??

9939781 发表于 2013-1-22 15:19:32

webporxy这种基本可以放弃,这么不合理的方案还要如此折腾?使用代理就注定无法完美pcq。无法pcq就等于被迅雷这种多线程软件秒杀。

dcl2009 发表于 2013-1-22 15:21:34

本帖最后由 dcl2009 于 2013-1-22 15:22 编辑

Web-Proxy不能防封吧,电信他们检测的是时间戳,通过Web-Proxy之后时间戳也是乱的。

而且退一步说短时间内有访问大量不同IP的80端口,这个很容易被发现

下载之类倒是可以走普通光纤

个人观点,有知道的请指正

djsry 发表于 2013-1-22 15:27:42

dcl2009 发表于 2013-1-22 15:21 static/image/common/back.gif
Web-Proxy不能防封吧,电信他们检测的是时间戳,通过Web-Proxy之后时间戳也是乱的。

而且退一步说短时间 ...

感谢您的建议
检测是某部门装在网吧内部的那个东西在做,电信只管赚钱,他们不管检测的。

所以才想到用代理,只要能逃避网吧内部的检测就OK了。

还有一种思路,不知道行不行。
就是在ROS 与交换机之间做一个桥,在桥上做WEB代理 不知道行不行,只是想想,未经测试。

djsry 发表于 2013-1-22 15:28:41

9939781 发表于 2013-1-22 15:19 static/image/common/back.gif
webporxy这种基本可以放弃,这么不合理的方案还要如此折腾?使用代理就注定无法完美pcq。无法pcq就等于被迅 ...

感谢您的建议

那么您觉得我们要实施这种 多光纤接入来减少光纤费用的方案,用那种方法比较合适呢?

9939781 发表于 2013-1-22 15:46:00

djsry 发表于 2013-1-22 15:28
感谢您的建议

那么您觉得我们要实施这种 多光纤接入来减少光纤费用的方案,用那种方法比较合适呢?

用流控大师分流是不错的选择。把下载,电影一类分到ad就行了。

djsry 发表于 2013-1-22 15:59:26

9939781 发表于 2013-1-22 15:46 static/image/common/back.gif
用流控大师分流是不错的选择。把下载,电影一类分到ad就行了。

在我们的方案中,流控大师是最后的考虑选项,如果ROS做不出效果,就只能买一个流控了。

persist86 发表于 2013-1-22 16:08:33

这情况说的,请问这网吧多少台机器呢,没看到多少台机器,真不好说话,还有你的40M光纤,上下行应该是对等的吧

djsry 发表于 2013-1-22 16:16:06

persist86 发表于 2013-1-22 16:08 static/image/common/back.gif
这情况说的,请问这网吧多少台机器呢,没看到多少台机器,真不好说话,还有你的40M光纤,上下行应该是对等的 ...

机器全部算在一起320台。40兆是对等的

sealin 发表于 2013-1-22 19:08:37

这个看了看,我明显是外行啊,我只用简单限速
不过楼主的难题确实挺有难度
ros这个行业现在很少有人会免费提供服务了
囧。。。纯粹帮你顶顶了

persist86 发表于 2013-1-22 19:14:55

我不明白,为什么很多人在这折腾,2010年网吧180台机器,10M电信光纤,就一条10M电信光纤,180台机全在线,没人说卡,为什么你40M对等光纤,还要搞那么事呢,恩?有必要吗,难道在你网吧上网的人,全部是一开机就全速进行下载?

djsry 发表于 2013-1-22 20:49:56

本帖最后由 djsry 于 2013-1-22 20:59 编辑

persist86 发表于 2013-1-22 19:14 static/image/common/back.gif
我不明白,为什么很多人在这折腾,2010年网吧180台机器,10M电信光纤,就一条10M电信光纤,180台机全在线 ...

用的多的原因一:
好多人专门跑到我们网吧来下毛片的,一开卡就躲到角落里去了。
吃饭的时候还搞个挂机,让网管帮忙看着不要给关机了.....
用的多的原因二:
由于影视版权问题,网吧无法自行下载电影,现有的影音资源已经不能满足大家的需求。
很多顾客选择在网上观看。
这造成了,人少时,带宽空闲的太多,人稍微多一点,跑个100M是小意思。。
用的多的原因三:
视频连接啊~~~~顾客来上网,一看显示器大不大,二看有没有摄像头。
不管是玩游戏的,还是专门聊天的,都要摄像头。
有次我们工作人员问他们,你玩个游戏要摄像头干什么。
他说:窗口化啊,一边玩DNF\CF,一边和MM聊天。。。。
现在网吧所有的电脑都装了摄像头。
那么~~~~~~~~~200多人一边开着视频,一边玩着游戏,还弄个窗口看网络电影的奇葩场面就在我们网吧发生了。

结果就是 一片蛙声~~~,“网管,,,卡死了啊·~~~”

留言板,多是这样的
什么破网吧,玩个游戏这么卡,下次不来了。。


天啊,谁叫你一边看视频,一边看电影,还要一边玩游戏了,不卡才怪。。。。
我估摸的这些人都是受到过极限教育的,非常懂得珍惜时间,人生中的每一秒都要充分利用,,人才啊,

9939781 发表于 2013-1-22 21:46:48

djsry 发表于 2013-1-22 20:49 static/image/common/back.gif
用的多的原因一:
好多人专门跑到我们网吧来下毛片的,一开卡就躲到角落里去了。
吃饭的时候还搞个挂 ...

他们的大脑已经进化到双核甚至4核了,所以多任务毫无压力。。。。甚至他们觉得他们的大脑比你CPU还快,哈哈:lol 这种客户多着了。

rhgh 发表于 2013-1-22 22:00:30

由于这边某部门限制,在网吧内部装了一个盒子,使用端口镜像检测网站及QQ数据,目前只能用单条电信光纤。所以另外拉的那2条20兆ADSL光纤是非法的,如果被查到会被封停。

说实话 没看太明白是交换机端口镜像还是其他的什么设备的端口镜像这个应该和出局线路无关吧
只要不是路由的端口镜像 他应该不能查到路由链路的吧
网络传输 只是终端连上路由 告诉他 我要去那里    路由再去给他查找线路你这个 在中间的东西 只能看到 目标地址又看不到路由链路需要这么麻烦吗?

djsry 发表于 2013-1-22 22:12:50

rhgh 发表于 2013-1-22 22:00 static/image/common/back.gif
说实话 没看太明白是交换机端口镜像还是其他的什么设备的端口镜像这个应该和出局线路无关吧
只要 ...

你说的这个还没认真考虑过,谢谢提醒。

端口镜像是这样的,
基于ROSLAN口,出入双向的端口镜像,做在内部汇聚层交换机上的。
从你的思路上去理解,是不是LAN口镜像无法查到路由数据?
页: [1] 2
查看完整版本: 关于ROS使用Web-Proxy后Mangle的问题(解决了)