pfsense下的流量管理（转）

http://www.pppei.net/blog/post/331

在作流量管理时，这些概念很重要，不要迷失。。

这里再对Limiter 的源地址和目的地址做个说明，因为limiter是被应用在Lan接口的Rule里，相对pfsense来说，用户发往 Lan口的流量为In，pfsense通过Lan口发给用户的流量为OUT，因此限制上传的limiter因该应用在In方向，limiter的参照值应该为“源IP”，下载的Limiter应该应用在OUT方向，因为是转发给用户的所以这个limiter的参数值应该是“目的IP”。

另外，，，，策略路由，还有流控，就在LAN里作就OK了，，，但目前不很清楚它和FLOATING的差别。因为同样都会生效呢。。难道FLOATING规则真的是为了不指定具体出口之类的？？？？

~~~~~~~~~~~~

流量管理

pfsense 有三种流量管理方法。
一是Queue，这种方式适合做QOS（服务质量保证），对数据进行分类，根据不同数据的不同特性，提供不同的服务质量，比如IP电话的语音数据，需要低网络延时，而某用户的下载流量只关心总带宽，这时就可以将ip电话的数据标记出来放到低延时的队列里，下载的流量放到只保证带宽的队列里，网关会用不同的算法转发相应的数据包，达到预定的服务质量。如果要实现对每个IP分别限速，就要为每个ip都建立一个队列，然后将每个IP的数据对应到唯这个队列上；
二是使用Captive portal，这种方式更适合用在无线网络环境中，用户需要打开浏览器输入用户名密码之后才能正常上网，同时为每个用户分配固定的带宽。只要开启了Captive portal，即使关闭了认证，也还是要打开浏览器在弹出的页面上点击确定后才能上网，用在有线环境里太影响用户体验，而且目前Captive portal 只有全局一个实例，2.1版可以针对不同的端口启用不同的实例；
三是使用防火墙的高功特性（这种方法是根据IP地址分别进行限速的）。在防火墙规则中限速有一个缺点，限速和访问控制策略偶合在了一块，失去了灵活性，配置的时候要谨慎一点不然可能会出现限速失效的情况，举个例子，为说明简单这里限速指的是下载限速：
①——-permit tcp any  to host 1.1.1.1 from lan————————
②——-permit any to any and speed limit 2M from Lan——

策略①中没有做流量限制，②中每用户的下载都限制在了2M。防火墙规则匹配是自上到下，匹配成功就不再向下进行，因此去往1.1.1.1的流量匹配了第一条策略，没做限速，第二条规则中的限速也就失效了。

另外再对速度做个说明，同样的策略在第一条上加上限速：
①——-permit tcp any  to host 1.1.1.1 and speed limit at 2M from lan——-
②——-permit any to any and speed limit 2M from Lan——

去往1.1.1.1的流量还会匹配策略①，其它的流量匹配策略②，那么如果用户同时有从1.1.1.1下载的流量和其它从其它地方下载的流量，从1.1.1.1下载.限制在2M，从其它地方下载也被限制在2M，因为是同时产生的流量，所以加起来用户得到了4M带宽。其实结果并不是这样的，在防火墙规则中限速时要先定义limiter，然后在规则中引用。内部是这样实现的，BSD的 PF（packet filter）没有限速功能，定义出来的limiter其实是另一个防火墙实现：IPFW中的组件，这个组件实现了限速，而且这个组件支持PIPE（管道）。PF中将匹配到的下载流量通过PIPE送到IPFW的Limiter中，limiter会根据定义时规定的参照值（源、目的ip，下载参照目的IP），为每个ip生成一个bukket，数据通过bukket的速度是它所属Limiter的速率。回到上面的例子规则 ①②中下载2M的limiter为同一个，同时匹配了两条规则的数据，通过PIPE被送到同一个Limiter中，这个limiter会根据目的ip生成一个BUKKET，这个bukket最大速度2M，用户得到的带宽最大也只是2M。如果规则①中使用了其它limiter比如下载3M的limiter，那么用户最终得到的带宽就是5M了。

　　实施方法前边也都说过了，很简单了Firewall ->Traffic Shaper -> limiter 下创建Limiter（需单独为上传下载创建limiter） ，然后在Firewall -> rule->Lan 规则的高级特性 In/Out 中应用limiter。

这里再对Limiter 的源地址和目的地址做个说明，因为limiter是被应用在Lan接口的Rule里，相对pfsense来说，用户发往 Lan口的流量为In，pfsense通过Lan口发给用户的流量为OUT，因此限制上传的limiter因该应用在In方向，limiter的参照值应该为“源IP”，下载的Limiter应该应用在OUT方向，因为是转发给用户的所以这个limiter的参数值应该是“目的IP”。

还有人可能会有疑问应用在Lan口只是转发给用户的速度慢了，从Wan口进来的流量一样不受限制。这种想法是错的，因为TCP有流控机质，UDP的话就要看上层应用的质量了。

在应用了新策略后，之前已经建立的连接是不会受这些规则影响的，可能得不到你想要的效果，需要在Diagnostics->States -> reset status 下清理一下pfsense的状态，中断用户的连接，就能看到效果了。

如果你更习惯在命令行操作，给出一些常用命令，不用和web界面死磕了：

pfctl -sn   #显示nat规则
pfctl -sr   #显示filter规则
pfctl -sa  #显示所有规则
pfctl -ss  #显示防火墙状态
pfctl -F nat #重置防火墙状态（清空NAT状态表）
ipfw pipe show #显示limiter的状态  其中0000x 为limiter的编号 BKT一列就是为每个ip分配的bukket编号