当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络交换机限速 防止BT下载速度过快

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 网络交换机限速 防止BT下载速度过快


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-30   浏览: 116 ::
收藏到网摘: n/a

交换机还是比较常用的,于是我研究了一下网络交换机限速功能,在这里拿出来和大家分享一下,希望对大家有用。传统的FTP、HTTP下载采用点对多点的方式,它采用指定一个服务器或服务器群方式,所有的用户都到这个服务器上下载,随着用户的增多,对服务器、带宽的要求也随之增多。当太多的用户同时从服务器上下载文件时,速度会非常缓慢。

而BitTorrent(直译成中文为“比特洪流”)出现彻底颠覆了传统的下载方式,它可以提供大容量的文件的下载。BT采用了一种类似于传销的工作方式,每个用户作为下载者的同时也是上传者。这种情况有效的利用了上行的带宽,也避免了传统的FTP大家都挤到服务器上下载同一个文件的瓶颈。而加入下载的人越多,实际上传的人也多,其它用户下载得就越快。有BT网站声称"8分钟下载完整部片子"虽然这种宣传有点夸张,除非其带宽速度非常理想,但是在30分钟内下载超过1G的内容,却不是天方夜谈。速度会很快,效率明显提高的特点,使的BT一经推出,就受到了广大用户的欢迎。

BT的出现,给网络下载带了一场前所未有的革命,同时出现了一些负面影响,首先就用户自己来说,BT使用了很差的HASH算法,致使硬盘的重复读写操作直接影响其寿命。在此方面用户可以通过软件限制BT在使用时的上行流量来保护自己的硬盘。但是对于整个网络来说,如果多个用户同时使用BT进行下载,会占用大量网络带宽,严重影响同一网段的其它用户正常工作。打个很形象的比喻,在高速公路上行驶,如果你的速度超过200码,就会影响到其它用户正常行驶,同样,而对于其它用户来说,可能发封电子邮件,都感觉像在用电话拨号上网一样。

就目前比较流行的两种接入方式LAN和ADSL来说,在使用BT软件的时候,由于ADSL是独享带宽,每个端口的用户享受的带宽出口仅为自己使用,其出口带宽也比较小,所以BT暂时没有对ADSL用户产生影响。而对于LAN接入方式,由于带宽是共享,因此会造成其它用户速度极度下降的后果。也就是说一栋楼里只要有一家用户使用BT,就可能影响其它用户的带宽,在高峰期每户可能只分到几十K的带宽。这样就给运营商们带来了难题,为了保证其它用户的利益,必须对BT用户进行限制。

BT的交换机限速的方法有很多,目前比较常用的代理软件CCProxy,可通过设置来限制客户机的带宽以及其最大连接数,也可以很彻底的封杀-完全不容许BT下载,即限制TCP用户常用的端口号6881~6889来实现,由于BT端口是可改变的,所以一旦BT下载端口发生改变,你就得立即查到新的端口,并将它封掉。但基于软件的方式容易被恶意用户攻击,造成系统不稳定。对于硬件来说,可以通过速率限制来防止BT对网络带宽的占用问题。烽火网络F-engine交换机可以提供基于流和基于端口的两种交换机限速方式:

第一种是基于端口的限速,该种交换机限速方式直接在端口上配置,例如把交换机端口1的出口方向限速为2M,则从该端口将发送的流量加起来被限制到2M。该种限速方式使用在接入交换机上实现,每端口接一个用户,这样用户就算使用BT下载工具,因为提供给他的下载速率已经被交换机给限制住,BT就算打开再多的TCP连接,也不会影响整个网络的性能,从而将BT对网络的影响给消除掉,这是一种强制性的限速方式,烽火网络还可以根据运营商需求提供更高的基于流的限速。

基于流的限速通常用于汇聚层的交换机,一个端口接多个用户或单位的情况,先可用ACL条目定义一个流规则,这个规则可以是用户的IP地址、MAC地址以及VIANid,也可以是TCP/UDP端口号,QOS服务类别,比如将流规则定义成TCP端口号规则,将BT用户的端口号加入这个流规则里面,限制网络中BT的流量,这种方式与CCProxy的做法类似,但不同的是,Ccproxy是将BT用户的端口彻底"封杀",而烽火网络交换机提供的限制网络中BT的流量,也就是说用户仍然可以BT,但是速度受到了限制,其目的是不影响其他用户的正常使用。基于流的限速,可以做到双向限制,也就说运营商不但可以限制用户下载速度,还可以限制上传速度,真正做到对网络中流量的控制。

值得一提的是,烽火网络的交换机在网管上做到了“批量配置”,它的出现意味着运营商的维护人员可以不用花大量的时间来对每一台交换机进行交换机限速配置和其他配置,而是只用对其中一台交换机进行配置,在将参数“复制”到其他交换机上(可以一次对100台交换机进行配置),避免了重复工作,提高了维护人员的工作效率。

交换机从产生到现在已有几十年的历史,随着用户使用和运营商的维护要求,新的技术不断涌现,速率限制已经不是新的话题,许多公司的交换机都可以提供这个功能,但由于往往颗粒度不够小,以及对上行速率的限速不稳定,往往有些不尽如人意,烽火网络第二代交换机能将限速的颗粒度细化到64Kbps,提供稳定的双向限速,在基于流的限速中,可选择IP/TCP/UDP不同的规则进行限速,将交换机限速技术提高到了应用上的层面,使网络中的流量控制运用自如。如果所BT的出现带来了一场下载革命,那么烽火网络第二代交换机的出现将带来对BT用户控制的另一场革命。