节点上万的网络，如何做流量控制？欢迎讨论

dbsrv

原帖由 bigrong 于 2006-12-12 11:15 发表
我觉得可能有些网络管理人员还是很喜好自己动手，又长知识又好玩，还省钱。 ...

顶一下。可惜天不遂人愿，我也想花钱买设备。DIY的东西都是想拿报废的个人PC来搭测试环境的。TNND，我的老板就是不想花钱还想成事的，所以练来练去，我的DIY设备最后都变成运营设备了。还是那种365*24的运营设备。惨啊

litterjim

可以先从二层设备做QOS,限制一下带宽,然后再做其他的控制
否则都靠最后一台设备去控制的话,成本会比较高.

wxxszzz

我认为一个人干活总没有几个人干活快.
多用几台服务器串联起来,分工合作,亲密无间,应该可以提升网络性能

多弄几台服务器串联一下。

先一台搞策略路由控制再分接下联三台
服务器(接电信、网通、教育）搞p2p流量控制禁止再接下台服务器
搞NAT出口。

总共需七个服务器。

个人认为策略路由可以由cisco路由器来做。因为不涉及nat，只有一个路由表，可以跑到最大速度

这样我觉得可以人尽其材，物尽其用。最大量发挥每一部分的效率。

策略路由器

p2p流量控制服务器1 p2p流量控制服务器2 p2p流量控制服务器3 有必要的话再加一个内网服务器

电信nat服务器 网通nat服务器 教育nat服务器

不知道各位认为如何。

[ 本帖最后由 wxxszzz 于 2006-12-14 21:44 编辑 ]

bingosek

专用硬件防火墙还是比较强的

loser123

用ipfw ,动态规则,,  掩码,

可以只用一条规则一个pipe就实现所有用户的基于ip的带宽限制.
动态规则ipfw默认只有64条通道,不过可以通过内核参数设置,
只是,,没有试过10000多用户的情况,
这么多用户时的性能,,也没有测过..
(100-200的是用过的,没有任何问题.)

-----------------------------------------------------------------
看完了这个帖子,发现,这个问题其实是两个问题.
1.网关控制带宽
2.网络安全(内网)
对于1.我认为采用x86的东西就足够了,bsd下完全可以胜任
对于2.可以采用ipgard之类的防arp,对于交换机被堵,没有好办法,
只能在终端和交换核心上想办法,
比如在终端上进行配置,或者pppoe, 或者在交换机上配带宽管理,,,
当然也可以自己diy交换机,只是工作量太大,所以我倾向于把基础交换机
连接到有带宽控制的主交换机(组)上.这样自己diy一个主交换机,然后再加上一个
bsd的firewall,就可以应付了.

[ 本帖最后由 loser123 于 2006-12-15 11:35 编辑 ]

tiredboy

买个cisco 的sce，还可以为你们的网络专门定制，可以监控到网络中每一个详细的情况，也才20多万

guguoqing

同样的问题，先学习，后讨论。

wildgoose

网络规模很大的话还是建议使用专业的硬件防火墙来实现

codystar

个人感觉用PC-server做硬件防火墙完全能取代那些硬件防火墙，PC其实是个混杂模型，能模拟和通过升级达到任何专业硬件级的设备，这个其实跟游戏机硬件差不多。很多游戏机用专用硬件来实现高速运算，但是现在大多数配置豪华的PC都能轻易模拟和替代。只是在成本和使用管理上与专业硬件级的设备有区别。不知道我的看法是否很另类。

bigrong

test.cnw.com.cn上有些测试的介绍内容。希望对你有帮助。
不知道贵单位用的交换机是什么牌子，估计应该是在2002年或者更早采购的，如果是2004年以后的很多产品硬件的ACL量已经可以做得比较大，但是per ip的ACL还是非常浪费的。
硬件的做法我非常赞同，和Happyhunter不一样。而且对Linux的DIY能力不强，帮不了你。
还有一个办法，可以尝试一下。我见过一种方案，给用户PC安装一个1x的客户端软件，这个软件可以监控pc上的connection数量，也可以监控PC是否再作proxy，如果链接数高了，就断掉链接。我想开发这个软件的厂商不是软件见长的厂商，应该是找了相应代码完成的。您可以找找。
这样看看能否这样做，还是用你们的802.1x方法，然后radius和终端动动手脚，交换机不动。如果并发链接数不多，通，多了，断一下。