硬件带宽限制器

tag-icon tag-icon bandwidth qos bandwidth-control
硬件带宽限制器

真的不确定这里是不是应该问这个问题,但还是想问一下……

去年,我们公司发展迅猛。因此,我们的互联网连接需要严格管理和限制,不仅要禁止 Facebook 和其他令人反感的网站,还要限制专用于某些服务(如 YouTube)的带宽。

当然,在我们的每台路由器上设置新固件和限制是不可能的,我现在想知道是否有某种硬件设备可以毫无问题地为我提供此功能(限制和节流某些资源的带宽)。我会在我们的 ISP 线路和大楼交换机之间安装此设备,以控制整个公司的带宽分配。

谷歌搜索没有找到任何有用的信息,除了一些不适合我们情况的软件解决方案。

更新:

我们住在一栋大楼里。大楼底层有两个入口点连接,连接到大楼交换机。也就是说,我们有两个同步(上行 = 下行)ADSL 连接,基本上每层楼一个。然后,此交换机分支并连接到我们目前拥有的两层楼中的每一层(即,连接到每层楼的几个路由器中的每一台)。公司 99% 的人都在使用 Mac(我知道……),这些 Mac 通过无线方式连接到上述路由器。WAN 本身不以任何方式互连,只是它们最终都回到同一个大楼交换机。

我原本想用新固件刷新每个路由器,然后对它们进行一些严格的限制,但这不仅对路由器不太安全,而且也很繁琐 - 特别是如果我以后需要更改条件的话。这将需要我再次四处奔波并处理每一个问题。我在这里的主要目标是,一个设备既能够限制某些网站的带宽(例如,将 Youtube 限制为 100kb/s),又能够完全阻止其他网站(facebook),最好是通过子网(例如,192.168.3.x 只会限制带宽,而 192.168.2.x 会完全封锁 facebook)。如果您能指出这样的设备(如果存在),我们将为其支付高达 5,000 美元,这就是对我们而言立即做到这一点并在无限期内无忧无虑的重要性。

更新 2:

当前路由器信息:目前我们使用 LinkSys WRT54GL 作为路由器。一共有 5 个,一楼有 3 个,二楼有 2 个。

更新 3:

我们住在一栋租来的大楼里。大楼里有一个主机架,但我无权访问,因此必须找到大楼的网络管理员。我们是大学校园的一部分,目前我们占据了大楼的 50%。结构如下 - 一楼有一个地板机架,我们的互联网连接插入其中。从那里,我们将其分支到 VoIP 和用户互联网访问,方式如下:一楼获得一个通道,总共有 3 个 SOHO 路由器。一楼机架连接到主楼机架,主楼机架又将此连接分散到一楼的房间,每个房间都有自己的路由器。所以,基本上,我无法控制或访问主楼机架。

Bart 建议我们更换那些 SOHO。最佳设置是什么?我应该为每层楼设置一个强大的接入点吗?这通常是怎么做的,你会建议什么样的硬件/软件组合?我愿意接受一切,甚至在必要时完全重组整个公司网络。我想从一开始就学习如何正确地做到这一点。

答案1

您使用的是哪种路由器?听起来您只是在使用 SOHO 类型的路由器?您可能想要考虑购买更好的路由器和交换机,这些路由器和交换机具有内置管理功能,并且可以通过 SNMP 进行监控。

也就是说,我还会安装一个可以记录活动并阻止某些流量的代理服务器。代理可以解决部分网速问题,而阻止可以限制其他问题。

升级后的路由器还可以处理流量整形和限制以及 QoS。如果您必须“便宜”地完成此操作,您可以开始使用 Linux 机器(有几种交钥匙解决方案)进行流量监控和整形。安装、配置并将其设置为每个系统路由通过的网关。廉价的机器也可以为您完成代理工作,并且您可以选择 VPN 访问。

我们运行了 SquidGuard 盒子一段时间来过滤和代理流量。事实证明,当我们过滤从特定(受感染)客户端通过路由表散布的某些广播时,它也能很好地帮助追踪网络上的某些恶意软件。它对于获取浏览活动报告也非常有用。

只要确保你的政策允许任何过滤或其他行为,并让员工了解网络监控即可。有时这是法律规定,有时这只是对用户的一种礼貌,提醒他们使用的是公司资源,而不是个人资源。

答案2

一个 Linux 网关,配有 iptables 和 netem 内核模块,可以帮你搞定一切。但是,这需要相当多的配置工作,所以本质上你是在用金钱换时间。另外,这需要有人具备一定的 Linux 技能,这绝对不是新手可以尝试的事情。

答案3

这是几个月后的情况更新。非常感谢@Bart Silverstrim 提出这种方法。

我们制作了一个新的 Linux Magic Box,即运行 CentOS x64 的 PC 网关。这台机器充当整个网络的路由器。我们为其配备了高端 Intel NIC,并用它来在整个公司范围内分发我们的 LAN。这使我们能够进行以下设置:

  1. 我们现在有 4 个 VLAN,分布在 4 个 SSID 上,每个网络层一个。(例如,我们的出版部门有自己的 SSID,我们的总部有自己的 SSID,等等。)
  2. 我们购买了几台 WRT54GL 路由器,并使用 dd-wrt ​​固件将它们转换为功能强大的接入点。因此,所有 4 个 VLAN/SSID 均可在公司的每个角落以 100% 的信号强度使用,并且人们可以在楼层间行走而不会失去连接。
  3. 我们安装了 Radius 来获得 WPA2-ENT 访问限制,也就是说,我们的用户现在可以使用用户名-密码组合登录,这让我们看到谁在何时何地连接。
  4. 我们在网关机器上安装了许多很棒的软件,以启用延迟池、限制和带宽限制。借助 Squid 代理,我们还启用了一个非常强大、非常快速的缓存,用于处理所有 HTTP 流量。

现在,当公司再次发展时,我所要做的就是克隆 AP 配置,设置设备的 IP 并将其添加到网关上的搜索组,这样网络就扩展了。此外,我还可以全面了解网络统计数据、网站访问量、带宽使用情况、数据包分类等。

整个事情花了我们一周的时间来策划,总共花费约 5000 欧元。

答案4

我们一直在评估 Procera Networks 的 PacketLogic 设备,并且运行非常顺利。

相关内容