关于ROS使用Web-Proxy后Mangle的问题(解决了)

djsry

已经解决，感谢各位大大帮助，谢谢。


在这个方案上折腾我一段时间了，由于基础知识不足，实在是无法解决，发到这里烦请各位大大帮忙分析一下，看看有没有更好的方案，谢谢。

网络环境如下：
应用场所：广东某网吧，服务器全部算在一起320台
现有网络状况：
电信100兆(对等)接入，ros5.19。
网络整改目标：
原电信100兆降低为电信40兆(对等)接入（为了省钱），再拉2条20兆电信ADSL光纤。
2条20兆电信ADSL光纤由于每条线路的上传只有2兆，所以只做WEB、网络视频、下载等流量的分流。
剩余的所有应用分流给那条40兆。

绊脚石：
由于这边某部门限制，在网吧内部装了一个盒子，使用端口镜像检测网站及QQ数据，目前只能用单条电信光纤。所以另外拉的那2条20兆ADSL光纤是非法的，如果被查到会被封停。

自己想的简单解决方案：
使用ROS的Web-Proxy，伪装访问网站的数据，让该部门无法正常检测，达到逃避检测、降低光纤费用的目的

应用结果：（悲剧了 ）
为保证整改方案的顺利进行，先在单电信光纤的环境下进行了测试。
在实施HTB时，发现因为使用了Web-Proxy，ROS根本无法正常标记出基于80端口访问站点的数据。

在单条电信100兆光纤的环境下，自己尝试了在使用Web-Proxy之后的二种标记方式：
一，标记数据起始地址的方式
a.PRE标记WAN口，凡从WANIP发出到目的端口80的数据，POST标记为上传。
b.OUT标记LAN口，凡从LAN口出去的起始端口为80的数据，PRE标记为下载。
二，换了一种思路
a.把计划分流的网络视频，下载等流量先标记出来；
b.再标记其他任意剩余的流量
c.剩余的未知数据使用NO_Mark标记（通过实际测试基本确定为Web-Proxy数据）

悲剧的开始：
使用第一种标记方式，数据能正常标记出，在Queue Tree下进行限速也正常。悲剧在于限速后LAN口与WAN的数据完全不对等，WAN进入流量有40M，但从LAN出去的才30M左右，出现差别的原因是被限速了。
使用第二种标记方式，数据能正常标记出，在Queue Tree下进行限速也正常。LAN与WAN的数据也基本对等。但一开迅雷下载，它居然把使用NO_Mark标记Web-Proxy的数据也给占了。结果导致原标记的下载用了40M（限速为40M），用NO_Mark标记Web-Proxy的数据也用了近40M（限速为40M）。迅雷里显示下载达到8.3M/S。不能达到限速的目的。

请教各位大大
使用Web-Proxy后，还有什么更好的标记方法，能够将WEB数据给正确的标记出来，谢谢了。
还有一种思路，就是在ROS 与交换机之间做一个桥，在桥上做WEB代理，没有经过测试，不知道能不能逃避内部端口镜像的检测，哪位大大能够理论指导一下就好了。

写的比较乱,还请谅解。

2013-01-22|16:22
新进展:
已经能够正常标记任何流量（未使用NO-MARK），包括Web-Proxy和迅雷流量。
新进展带来的新问题：
在Queue Tree 中标示UDP和TCP的下载，使用Queue Types中建立的PCQ 20M限制方案。不能完全限制迅雷(待会我会截图)
Queue Types PCQ 限速策略(目前还是单100兆光纤)


Queue Tree 并没有限制住迅雷，是不是要在Max Limit 中填写单项最大值??

9939781

webporxy这种基本可以放弃，这么不合理的方案还要如此折腾？使用代理就注定无法完美pcq。无法pcq就等于被迅雷这种多线程软件秒杀。

dcl2009

Web-Proxy不能防封吧，电信他们检测的是时间戳，通过Web-Proxy之后时间戳也是乱的。

而且退一步说短时间内有访问大量不同IP的80端口，这个很容易被发现

下载之类倒是可以走普通光纤

个人观点，有知道的请指正

djsry

dcl2009 发表于 2013-1-22 15:21

                               
登录/注册后可看大图

Web-Proxy不能防封吧，电信他们检测的是时间戳，通过Web-Proxy之后时间戳也是乱的。

而且退一步说短时间 ...

感谢您的建议
检测是某部门装在网吧内部的那个东西在做，电信只管赚钱，他们不管检测的。

所以才想到用代理，只要能逃避网吧内部的检测就OK了。

还有一种思路，不知道行不行。
就是在ROS 与交换机之间做一个桥，在桥上做WEB代理 不知道行不行，只是想想，未经测试。

djsry

9939781 发表于 2013-1-22 15:19

                               
登录/注册后可看大图

webporxy这种基本可以放弃，这么不合理的方案还要如此折腾？使用代理就注定无法完美pcq。无法pcq就等于被迅 ...

感谢您的建议

那么您觉得我们要实施这种 多光纤接入来减少光纤费用的方案，用那种方法比较合适呢?

9939781

djsry 发表于 2013-1-22 15:28
感谢您的建议

那么您觉得我们要实施这种 多光纤接入来减少光纤费用的方案，用那种方法比较合适呢?

用流控大师分流是不错的选择。把下载，电影一类分到ad就行了。

djsry

9939781 发表于 2013-1-22 15:46

                               
登录/注册后可看大图

用流控大师分流是不错的选择。把下载，电影一类分到ad就行了。

在我们的方案中，流控大师是最后的考虑选项，如果ROS做不出效果，就只能买一个流控了。

persist86

这情况说的，请问这网吧多少台机器呢，没看到多少台机器，真不好说话，还有你的40M光纤，上下行应该是对等的吧

djsry

persist86 发表于 2013-1-22 16:08

                               
登录/注册后可看大图

这情况说的，请问这网吧多少台机器呢，没看到多少台机器，真不好说话，还有你的40M光纤，上下行应该是对等的 ...

机器全部算在一起320台。40兆是对等的

sealin

这个看了看，我明显是外行啊，我只用简单限速
不过楼主的难题确实挺有难度
ros这个行业现在很少有人会免费提供服务了
囧。。。纯粹帮你顶顶了

persist86

我不明白，为什么很多人在这折腾，2010年  网吧180台机器，10M电信光纤，就一条10M电信光纤，180台机全在线，没人说卡，为什么你40M对等光纤，还要搞那么事呢，恩？有必要吗，难道在你网吧上网的人，全部是一开机就全速进行下载？

djsry

persist86 发表于 2013-1-22 19:14

                               
登录/注册后可看大图

我不明白，为什么很多人在这折腾，2010年  网吧180台机器，10M电信光纤，就一条10M电信光纤，180台机全在线 ...

用的多的原因一：
好多人专门跑到我们网吧来下毛片的，一开卡就躲到角落里去了。
吃饭的时候还搞个挂机，让网管帮忙看着不要给关机了.....
用的多的原因二：
由于影视版权问题，网吧无法自行下载电影，现有的影音资源已经不能满足大家的需求。
很多顾客选择在网上观看。
这造成了，人少时，带宽空闲的太多，人稍微多一点，跑个100M是小意思。。
用的多的原因三：
视频连接啊~~~~顾客来上网，一看显示器大不大，二看有没有摄像头。
不管是玩游戏的，还是专门聊天的，都要摄像头。
有次我们工作人员问他们，你玩个游戏要摄像头干什么。
他说：窗口化啊，一边玩DNF\CF，一边和MM聊天。。。。
现在网吧所有的电脑都装了摄像头。
那么~~~~~~~~~200多人一边开着视频，一边玩着游戏，还弄个窗口看网络电影的奇葩场面就在我们网吧发生了。

结果就是 一片蛙声~~~，“网管，，，卡死了啊·~~~”

留言板，多是这样的
什么破网吧，玩个游戏这么卡，下次不来了。。


天啊，谁叫你一边看视频，一边看电影，还要一边玩游戏了，不卡才怪。。。。
我估摸的这些人都是受到过极限教育的，非常懂得珍惜时间，人生中的每一秒都要充分利用，，人才啊，

9939781

djsry 发表于 2013-1-22 20:49

                               
登录/注册后可看大图

用的多的原因一：
好多人专门跑到我们网吧来下毛片的，一开卡就躲到角落里去了。
吃饭的时候还搞个挂 ...

他们的大脑已经进化到双核甚至4核了，所以多任务毫无压力。。。。甚至他们觉得他们的大脑比你CPU还快，哈哈 这种客户多着了。

rhgh

由于这边某部门限制，在网吧内部装了一个盒子，使用端口镜像检测网站及QQ数据，目前只能用单条电信光纤。所以另外拉的那2条20兆ADSL光纤是非法的，如果被查到会被封停。

说实话 没看太明白  是交换机端口镜像还是其他的什么设备的端口镜像  这个应该和出局线路无关吧
只要不是路由的端口镜像 他应该不能查到路由链路的吧
网络传输 只是终端连上路由 告诉他 我要去那里    路由再去给他查找线路  你这个 在中间的东西 只能看到 目标地址  又看不到路由链路  需要这么麻烦吗？

djsry

rhgh 发表于 2013-1-22 22:00

                               
登录/注册后可看大图

说实话 没看太明白  是交换机端口镜像还是其他的什么设备的端口镜像  这个应该和出局线路无关吧
只要 ...

你说的这个还没认真考虑过，谢谢提醒。

端口镜像是这样的，
基于ROSLAN口，出入双向的端口镜像，做在内部汇聚层交换机上的。
从你的思路上去理解，是不是LAN口镜像无法查到路由数据？