我计划为一家拥有数千名访客(每位访客在现场停留一个月)的设施设计一个多建筑 wifi 网络。我需要确保没有单个用户占用大量带宽。如果是这样,我需要能够隔离/识别设备(并联系用户)。此外(或者)我想限制该用户的带宽。
有没有简单的方法可以实现这一点?我有一个中央 DHCP 服务器,以防万一,并且建筑物被划分为子网。我在子网之间有 Microtik 路由器(但我可以更换它们)
答案1
一般步骤:我不熟悉那个特定的路由器,所以我列出了一般目标。
现在网关 IP 上是否有可以利用的中央日志记录?系统是否记录到 SQL 数据库?
是否有中央身份验证服务器、radius 服务器?如果有,它是否返回唯一 ID,或者您可能想要使用登录 ID。
您必须将数据转储到包含以太网 mac 地址的中央数据库,还包括输入字节和输出字节。[来自身份验证服务器/方法的用户 ID、客户 ID]
一旦您有了数据库,您就可以执行按字节和 mac 地址排序的聚合查询。
您可以创建自己的字节输入与字节输出规则,或者仅创建两者的累计总数。
您想要对用户还是特定设备进行限制,或者两者兼而有之?
一旦您有了目标,您就可以使用 QOS、diff-serv 针对网络编写脚本操作并标记用户数据包。
设置一般规则:每个连接分配的最大带宽网络必须能够支持 QOS、Diffserv 和 WMM [最好]
路由器、交换机应具有 QOS、diffserv 功能。检查交换机,了解更改 QOS、diffserv 标记对不同交换机、路由器等有何影响。这可能会影响您的更新频率和方法。实施的全部原因是保持网络平稳运行。您要确保这种类型的网络管理不会对网络产生不利影响。
您希望多久更新和执行一次?
您想在下次登录时强制执行还是实时/半实时强制执行?登录时检查 SQL 标志:读取字节标志或规则标志。
您是否要警告用户遵守规则?如果是,则在使用率达到阈值百分比时创建警告(无论您决定如何考虑使用率)
创建查询触发器
使用 SNMPv3 或其他方法将脚本结果传输至网络设备。
多年来,我出于不同的原因做过几次这样的项目。有一次,我们在中间放了一个盒子,以减轻整个过程造成的额外工作量。计算机充当过滤器。我们还在过滤计算机前面添加了死网关检测方法。如果它坏了,流量将绕过过滤系统直接流向网关。如前所述,这些项目的总体目标是为所有用户提供可靠性和稳定性。