前言:
经常在群里看到不少朋友争论海蜘蛛 ROS 维盟 爱快 碧海威 流控大师 Woyos等等软路由,哪个好。
实际上,网络产品是复杂的,现在的软路由功能上已经远远不是单独的路由了。每种产品都有他本身的优点和缺点,产品定位,适应人群,谈不上非得分出个高低好坏来。所以本文中的一些观点,如果带有一些偏向性的话,大家请勿纠结。因为每个人都会对自己用的产品有种拥护情节,难免会有失公平。
当然这里主要讲的肯定还是RouterOS。本人是5年前接触ROS的,在这之前烧过不少路由器,各种洋垃圾,高端旗舰无线路由器都买过,刷tomato,刷DD-wrt,刷Openwrt。常年混迹于恩山,Anywlan。最终,当我接触到ROS以后,我开始退烧了。所以借此文章,我也劝告一下那些,还在追求高配置追求旗舰无线路由器的朋友们。来学着玩玩ROS吧,你会发现,你要的东西这里都有,而且永远不必再追着厂商的新产品跑。
首先我来谈谈ROS的优点,CCIE1691崔北亮对ROS的评价一针见血。 相对于传统的思科华为硬件产品来说,ROS的优点就是便宜,甚至可以说免费。但是性能却不弱,高配置的ROS完全可以达到企业级的应用。 另外,ROS的路由功能非常全面。基本上平时能接触到的情况,ROS都能有相应的解决方案。 例如针对外网就有:多线路负载均衡,不同ISP策略路由,大小不同的带宽的叠加,单线多拨,IPIP PPTP借线。内网有:Bridge,交换,多网关,802.1Q VLAN,PPPOE-SERVER,HOTSPOT认证,WIFI等等。此外还有单臂路由充当3层 Bridge nat伪装MAC VPN服务 强大的firwall,filter,灵活的mangle,还有高效的PCQ+HTB。 同时Mikrotik团队,针对新硬件的优化时时的更新着ROS,几乎每个月都会有一个新版本推出。 所以单就路由功能上面,豪不夸张的说,ROS就是软路由业界的标杆!其它的产品,想从功能上,稳定性,效率上面超过ROS,真的相当困难。当然这仅仅是路由功能上来说。
好了,再来讲讲ROS的缺点。
纵观ROS论坛,哪些话题是最受关注的?那就是教程和脚本。 ROS确实相比其它的产品来说上手难度有点大,需要有一定的网络基础,甚至玩的高深了还要一定的编程技巧。但学习成本比较高的另一个好处也有,那就是学会的人不会轻易更换阵地,呵呵。用户忠诚度很高。
除了教程外,基本上很多人都在找ROS的脚本。。这就是我今天要讲的,也是ROS的最大缺点:流控!
基于单机(单IP)的简单的流量分配,实际上没有任何意义,造成带宽浪费不说。对单机,不同应用间,也起不到流控的效果(你一边迅雷一边游戏,无法实现)。
如果我要说ROS的限速功能差,肯定会有很多人喷我,实际上ROS的PCQ+HTB,对数包的处理是相当科学和高效的(国内有不少产品模仿)。所以我指的流控差,准确一点说 :就是数据识别。也就是ROS中的标记! 一切非基于应用层的标记,都是不准确的。例如80口一般是HTTP网页,但迅雷一样会占用80端下载,QQ也会用80口做VIP登陆口。 你将80口,标记为HTTP,那么迅雷一样会通过这个端口逃出去。 例如LOL采用的是P2P传输技术,如果你为了压制P2P,将P2P特征的数据流压制了,LOL就会卡。。这就为什么很多人说,采用了XXX的脚本,LOL很卡,怎么办?
总之换作通俗一点的说法就是: ROS抓坏蛋很历害,手段也很高效。但是ROS却无法分辨出来哪些是坏蛋!
ROS的mangle功能无比强大,只要你想的到,他都能做的到。你想将一个应用完美的标记出来,完全可能,抓包做L7,结合其它的如包大小,目标地址,源地址,端口,基本上都能做到数据识别。
但是请看下面这张图:
<ignore_js_op>
这里罗列了,将近1720种网络应用。请问现成的,ROS脚本,有哪一个脚本可以准确的将以上1720种应用,完美的标记出来?不是说ROS做不到,而是我们标的人做不到。一是应用太多,标不全,二是应用更新太快,你今天抓包制作好了L7了,明天QQ和迅雷更新,新版本了,又识别不到了。所以网上的各种脚本,基本上都是针对自己的使用情况,简化标记的。例如公司用的不会标记游戏,网吧的也只标记了自己网吧里现成有的游戏,而我如果只要股票和网页快就行了,别的都不需要。 或者新出来一个游戏,就没办法识别。所以很多时候,往往你运行的很好的ROS脚本,给别人用了,人家觉得效果很差。
最终得出一个结论,就是ROS的限速不好。虽然这并不是真实反应了ROS的实力,但是却是真真切切带给人们的观念就是,ROS限速太难,ROS限速不好,大家苦苦的找寻各种神本, 实际上就是为了,找寻ROS准确的标记。
那么本文的中心点,就是: 标记! 解决好了标记!ROS就能相当完美的流控。
我采用的方法很简单,大家先来看2张图:
<ignore_js_op>
这是我模拟的4M的使用环境,我将迅雷所在的P2P标记在 第四类 DSCP4里面。限制了3M的速度的运行结果!
迅雷非常准确的,得到了3M的带宽,没有超过设定值,也没有跑到别的分类中。证明标识非常准确。
<ignore_js_op>
这是我在迅雷的同时,打开网页时的效果。流量瞬间被调整给了优先级更高的HTTP网页,即,我分类中的第二类DSCP2。
网页顺利打开,证明对HTTP和迅雷的标记都非常准确,而且PCQ+HTB的优先级调配,工作良好,反应迅速。
那我是怎么做的呢? 实际上,我在ROS上的设置相当简单。 只标记了5个类目
<ignore_js_op>
我将数据包的DSCP值为1 的标记成 DSCP1 代表了 DNS小包优先,游戏
DSCP值为2的标记,标成了DSCP2,代表了HTTP网页和即时通信等
DSCP值为3的标记,标成了DSCP3,代表了HTTP文件下载,系统更新,QQ传文件等
DSCP值为4的标记,标记了DSCP4,代表了所有的P2P下载和网络电视
其它未识别的,默认DSCP的值都为0,统一标记了DSCP0。
然后就是上例中迅雷下载的图中的,PCQ+HTB队列,对这5类数据进行了优先级调配。
那么这些数据包的DSCP值,是谁提供的呢? 这就是本文标题中,提到的PA 或 碧海威,之类流控软件的辅助的结果。
ROS不是标记不准吗?大家求的各种神本,为的就是清楚无误的标记吗? 实际上,求人不如求流控软件。 众所周知,所有的流控软件的核心技术
就是他们背后制作数据包识别的团队,他们时时刻刻的,在更新识别库(类似于病毒库一样),有了这个库,他们的流控软件就可以准确的将各种
网络应用,在应用层就识别出来。
我们要做的就是,在碧海威中,将所有经过的数据,按种类不同,打上不同的DSCP值的标签。然后交给ROS处理就可以了。
安装碧海威或PA的,网桥版是需要至少3块网卡的, 其中1块是管理口,跟你管理的主机,接在同一个2层交换机上面即可。
其它的2块网卡,就像一条网线的2个头子一样。。串在 ROS的内网口LAN,和你的内网交换机,中间即可。
换句话说,你就当碧海威 就是一条网线一样,存在于网络当中。。 一头接着ROS的内网口,一头接着内网交换机,即可。
实际操作如下:
下载碧海威的ISO文件,刻盘,或写入U盘,启动安装。 碧海威的硬件条件,除3块网卡外,其它的跟ROS相仿即可。
安装过程就不详细说了,官网都有介绍。实际上,启动好以后,输入帐号root和密码root,输入setup,按1,选择硬盘。一路按Y,就完成了
然后输入reboot,重启后就能进入碧海威系统,然后按3,选择一块管理口,给他一个IP地址。例如你的本机是192.168.1.2 那你就输192.168.1.3/24
然后你在本机的IE上面,输入192.168.1.3,就可以访问碧海威了。
安装完以后,首先要做的事情是网口设置。本例中我有8块网口,最后一块,做了管理口,1-6,做了3对网桥。。第7个口空着。
如果你是3块网卡,那就是,1进1出 1管理。。也就是说,整个系统中只有一对网桥。
<ignore_js_op>
设置网口的小技巧,就是先把网线拔了,显示断开的那个口就是你要操作的口,这样设置内外网时就不会出错了。
<ignore_js_op>
这是设置碧海威所在的网关和DNS
<ignore_js_op>
这是设置碧海威自身设备的路由
经过以上设置,碧海威本身就可以上网了 (主要为了自动更新识别库) 如果你的内网环境是是32个IP以下,就可以安装正式版授权版的,在未授权状态下面,32IP以下免费。而且功能上没有任何限制,可以自动更新。
如果你安装的是免费版本的,最多允许256个IP,但是不能自动更新,也就是说,上面3张图中的设置,可要可不要了。反正不能在线更新,只能手动更新的。碧海威自身设备 能不能上网就无关紧要了。
<ignore_js_op>
这里选择,系统更新文件,进行更新。(如果是免费版,请选择对应的免费版的更新文件,本例中的是正式版的文件,免费版的带有free字样)
<ignore_js_op>
这里是正确设置更新地址以后(默认是错的,后面要加上st 2个字母),就可以发现,特征库被自动更新了。(如果是免费版,请选择对应的库更新文件,手工进行更新,文件在官方公布的群共享里有,是l7r结尾的文件名,最新版本是20140618)
<ignore_js_op>
然后,就是关键的设置点所在了,在对象管理里面,点 自定义协议, 将你要识别的各种协议归类。。。本例中,就是DSCP1 就是小包优先,我就将DNS ARP DHCP 游戏 股票 远程桌面等都归到这里。 然后DSCP2,DSCP3以类例推。。
<ignore_js_op>
下一步,就在流量策略里面,将你之前定义好的流量类别,分别打上,DSCP 1-4的标。。顺手将病毒类的应用,加一条禁止通过。这样数据连ROS都到达不了。就被拦截了,内网有各种病毒就不怕乱传播了。
至此。。碧海威的设置已经完成。所有经过的数据,都会被打上 DSCP 1-4的标签。。然后交由ROS处理
而ROS中,就好办了,将碧海威交过来的DSCP值为1-4的,再加上一个0的,未识别的,标记上传和下载的数据包,交由PCQ+HTB处理,就相当轻松了。这里就不截图了,直接上传脚本。供大家使用。
因为PA现在免费版的已经不支持DSCP功能,所以就不介绍了。
关于碧海威:
目前碧海威 分路由版和网桥版,路由版就是集成了路由功能的,也就是说,不要ROS也可以单独运行的。 而网桥版就是本例中说明的版本。
网桥版本分为 2种
第1种是免费版 所有的文件中都带有 free字样的, 这个版本是允许256个IP 无自动升级功能,无基于协义的流控功能 (但可DSCP打标 ,正好可以配合ROS用户用)
第2种是授权版 所有的文件中,都带有st字样的,这个版本在未授权前,只支持32个IP,超出了,会不受流控管理。 这个版本只要你的内网IP是32个以内的,那么用起来,跟正式授权版是一模一样的,可以自动更新,可以DSCP打标,可以基于协议的流控(本例中就采用了这个版本,但是本人没有用碧海威的流控功能,只用到了他的DSCP打标功能,流控依然交由ROS处理,碧海威只负责打标)
再贴几张单线多拨的实际使用效果:
<ignore_js_op>
<ignore_js_op>
<ignore_js_op>
<ignore_js_op>
本例中是,单线5拨的,上传叠加,每线5M 下载不叠加,1线和5线均只有110M
所以我在做流控时,上传分了5个 HTB, 下载用了1个HTB
实际运行非常良好。每台机器都可用到110M的最大带宽,网内可任意下载,看片。
游戏ping值,永远都是绿的
网页永远都是秒开的
同时,单机上网,就算你自己一边迅雷,你一边玩游戏,照样游戏优先。运行相当完美。
在多线实列里,我的IP超过了32个,所以我用的是免费版,只能每半年去官网群里下载更新包,手动更新一次。
不过就算不更新,实际上识别已经非常好了,未标出的数据很少。
至少识别效果上,我敢说就算是半年前的库文件,都超过了目前网上能找到的所有的所谓神本,小包优先版本的脚本。
当然如果你的IP比较多,又想得到最新的升级库,你也可以购买授权,实际上网桥版并不贵,如果用的好,支持一下正版
也无可厚非,毕竟这些的背后,都是需要团队在付出的,如果大家都想免费的享用别人的成果,而不需要付出一分钱。
那这个东西,也不会长久,毕竟抓包的也要发薪水呀。。
最终,我想说的是,既然ROS标识这么累,那干嘛还自己标? 为什么不让PA和碧海威,帮你标?人家可是有团队时时更新的。
与其这么累的,满世界找脚本,找到的效果也未必有这样完美。
所以求人不如求已,用上了DSCP! 不再需要神本! 区区5类标记,全网应用一网打尽!
又利用上ROS超强的路由功能,又补足了流控短板! 是不是很棒呢?
有神本的同学,如果觉得本人说的不对,可以自己做做实验看看,用你的神本去,迅雷下载,去看电影,你设置限速3M
看看是不是真的就限住了3M。
<ignore_js_op> 1线.rar (1.02 KB, 下载次数: 1094)
<ignore_js_op> 碧海威L7免费版安装手册20140923.pdf (851.91 KB, 下载次数: 853)
最后附上ROS DSCP单线脚本,和碧海威免费版安装手册。 有不明白的,可去 ROS碧海威UBNT网络技术 QQ群里找我。
因本人不从事IT相关行业,只是纯业余爱好,所以不提供有偿服务,至于提供免费服务,前提是我要有空。
另外该QQ群是我自己刚建的,欢迎技术爱好者,产品开发者们加入,共同学习,但是不欢迎以营利为目的人加入。