好的,像所有大学的 IT 部门一样,我们一直在与 P2P 滥用作斗争,并试图找出如何有效减轻它对我们的网络基础设施的影响......
然后我们今天发现,我们正在将我们的两栋宿舍租给街对面一所大学的学生。(总共 100 名学生,每栋楼 50 名学生。)
我们的预算:免费。(我们有一些 Pentium 3 和 Pentium 4 台式机可供使用。)
我们只负责为宿舍 RJ-45 接口提供 HTTP 流量支持。无需考虑 VOIP,什么都不用做。每栋楼都位于不同的 VLAN 上。
从理论上讲,使用在具有 2 个 NIC 的 PIII 或 Pentium IV 级机器上运行的 pfSense 之类的东西来限制 HTTP 流量/数据包整形/等是否可行?这不是永久性的——他们只出租一个学期的宿舍——但我以前从未这样做过,正在寻找这里的社区可以提供的任何指导。
(我认为每栋租赁的建筑物都放一个箱子……)
编辑:外部互联网连接:12mbits。所有宿舍都位于 IP 子集上,这些 IP 位于单独的“通道”中,不能超过总数的 30%。
答案1
啊,但是为了允许网页浏览,我相信学生们会喜欢使用 DNS 来解析他们的网站 URL。然后他们当然会想要 HTTPS 支持,这样他们就可以安全地登录他们的课件网站或银行。哦,那么……你这里有一个滑坡,我的朋友!但对此没有什么可以做的,不是吗?
根据网络设置方式,您可以将每个盒子设置为每个宿舍的网关路由器,或者出于性能考虑(如果可以的话),只需将每个盒子设置为透明桥接防火墙,并让(我假设)已经安装好的路由器进行路由。当然,这一切都取决于网络的布局方式。如果没有更多信息,我无法提供太多建议。
我推荐 openbsd 和 pf,尤其是考虑到您将要部署的旧硬件。也就是说,如果您的技术不够娴熟,无法自行设置,可以使用 pfsense 等发行版,但您只需要处理 Web 界面的轻微延迟即可。
答案2
有很多变量需要考虑。包括但不限于:
吞吐量(Mbps)。
这是显而易见的。吞吐量(PPS)。
这一点不太明显,但通常比上述内容更重要。大量小数据包会给路由器/防火墙带来比少量大数据包更大的压力。这是因为每个数据包都会产生系统中断,必须单独评估防火墙、路由或深度过滤。NIC 和 PCI 总线的质量。
尽可能购买最好的。好的 NIC 会尽可能多地执行板载处理,而不会扰乱系统。而便宜的 NIC 会将处理推回到 CPU 上,造成系统负载并减慢进程。而交通检查、处理数量。
防火墙规则越多,评估时间就越长。您可以执行一些巧妙的操作,例如透明代理和缓存,但这会带来一些额外的开销。
不过,我还是想说,你试图实现的目标完全有可能。如果你能摆脱 Pfsense 的 GUI 特性,那么我强烈建议你安装OpenBSD在机器上。做你想做的事非常简单,而且你会释放出很多力量。
你可能希望将机器配置为透明桥梁。这将使您能够将它们直接插入当前设置。您可以将其作为第一个测试,看看它们是否能胜任这项工作 - 将它们作为没有过滤的普通旧桥放入,看看它们是否能应付。如果出于某种原因您发现它们不能,那么您可以以相当小的干扰将它们拉出。
那么下一步就是引入使用 PF 进行过滤。 然后使用 ALTQ 进行速率限制.然后我建议扔SNMP协议(和PF MIB)以及类似以下的监控包仙人掌关注利用率和性能。
答案3
答案4
是一个效果不错的选项。它是较老的防火墙自定义 Linux 发行版之一。