《pahtbtos优先设置说明.docVIP

流控大师结合Ros路由器实现HTB标记优先的调试说明（适用于单线光纤网吧） Xzcsj 2010-05-29 在拿到模板后，我们要求首先能把ros配置上网。Ros版本必须为3.22或以上版本，可以来ftp:36(pa,pa)下载。Ros的基础部分在这里就不再详细讲述。总之，基本的安全策略，如arp绑定，外网禁ping之类的工作还是要做好。接下来主要看pa和ros优先策略的配置部分。 首先，务必确认pa内外网配置正确。在topIP中，必须看到全部内网机器。如果出现大量外网IP地址，那么你的pa内外网顺序肯定是错误的。模板中我们提供了针对intel网卡的em0对外，1对内，以及1对外0对内两套模板，再倒入时不要选错。 版本必须升级到0514以后的版本。如果基于Freebsd8，可直接升级至0527。 如果基于FB7的内核，则首先应将系统升级至0514，再将特征库升级至0527。 将pa模板倒入系统，再次提醒，注意网口顺序：0外1内或0内1外，选择符合要求的模板。 此模板只需要加入服务器IP组就可以了。服务器ip组是指除了所有客户机、路由器之外的任何一台机器，包括无盘服务器、游戏更新服务器和收银机等。 这里网桥带宽不要填写，否则会激活pa新版本自身的优先机制。该机制可能与ros中的优先机制相冲突。需要注意的是，现在下行部分由pa通过标记指挥ros完成，这样可使下行带宽利-用率和可靠程度更高，而pa则执行上行带宽控制、标记指令发出和部分行为下行带宽限制，大家不必担心。 这里是伪IP防御，需要输入网吧所存在的整段IP。比如-54。完成之后确认无误，可选择下面的“打开”菜单，激活伪IP防御。这样针对保护路由器，防止arp、DoS内网洪水攻击，路由欺骗攻击是很有效的。 Tos标记设置，这里务必选择为单线tos，目前双线tos有标记不成功的现象，后续版本即将解决。 需要注意，数据通道内的“p2p上行限制”，建议该值为实际能跑到的总带宽的1/20。比如某网吧实际带宽为20兆，那么该值就需要设置为1000。如某网吧预定带宽为50M，实测为48M，那么该值就必须为2400，而不是2500。 策略中就无需再动了，无论多大带宽。需要动的，也就是将“下载类”带宽进行改动。如该网吧实际带宽为20兆，我们允许在人少时下载速度达到15兆，那么就将这个值设置为人少时允许单机下载的最大值。该值不能超过ros htb通道中的下载带宽最大值(tos6)。 设置完成后别忘记激活策略。 以及连接数限制策略，激活。默认tcp/udp/总连接数分别为2000/2000/2500，完全可以满足任何需求。 接下来就是ros的配置部分，网吧不同带宽的设置，也就是要从这里开始。首先用ftp进入ros，上传这两个脚本。 在New Terminal命令窗口中，用import T和import M两个命令分别倒入这两个脚本。无倒入顺序要求。分别提示successfully即倒入成功。 在防火墙（IP-Firewall-Mangle）中可以看到针对tos标记的定义。这里看看即可，无须改动任何部分。 接下来开始针对带宽进行调整，在Queue-Queue-Tree树中，可以看到已经做好的通道和带宽定义，这里是针对20兆来设计的。 我们来解释一下这些数字的定义，就好对网吧实际带宽进行调整了。接下来的内容比较重要！ 比如网吧实际带宽确实能跑到20兆，大家可以看到，tree中有3个部分：第一个部分命名为Netgame，带宽无限制。这部分是专门留给游戏用的，标记为tos1。与pa众网络游戏的标记定义相同，这说明：ros接到pa的指令：将所有标记为1的行为，最优先进出。pa的识别能力很强的，利用这一点，可以精确识别出每一款游戏行为（私服处外，下述），并游戏数据包做好标记上交给ros。ros则根据这些标记，来判断行为的优先级。此为最先进的标记优先，准确率99.9% 以上，比目前任何端口优先、小包优先高得多。端口优先和小包优先准确率则不足50%。 第2部分，为网页、下载等等一切常规行为的总带宽。第3部分，则为无法标记的“未知应用”保留带宽。这部分带宽会和游戏部分公用，与第2部分的网页，下载等带宽分离。由于私服姜氏用此部分带宽，因此我们针对单机和ros，给其限定一个足够值即可。比如pa中的未知应用上下行最大300k，完全足以应付任何变态或仿盛大、传奇3，传世私服使用。而更多的未知应用，我们就不必去考虑了，pa官方会及时更新特征库以保证正确识别。 需要计算的部分： 下载，电影，IE等常规行为，建议不要超过总带宽的75-85%，带宽越大的网吧，这部分带宽可以设置得更高，比如16M（这