侠诺科技：中小企业安全路由器手册（5）

四、联机数管控

另一个阻挡有害服务的控制, 是经由联机数管控来进行。联机数管控可以控制内网的计算器最多能同时建立的联机数。这个功能对网管人员在控制内网使用P2P软件（如BT、BT、emule等会造成大量发出联机数session的软件）提供了非常有效的管理。设置恰当的容许联机数可以有效控制P2P软件时所能产生的联机数，相对也使带宽使用量达到一定的限制。另外，若计算机中了类似冲击波的病毒而产生大量对外发联机请求时，也可以达到抑制作用。

当有内部IP对外联机数超过设定的联机数限制值时，路由器即会阻挡该IP上网一段时间，以管制带宽不被占用。联机数管控也可设定有效时间,在非生效期间不进行管制。

图四：联机数管控是另一种有效限制大量占用带宽软件的一种方法,联机数管控可配置特定时间管控, 也可设定不受限制的服务（公司财务数据的传输，邮件的传输等）或者IP不受联机管制。

五、带宽管理配置

带宽管理可从不同的角度来落实，例如以人为规范进行、以计算机是否可以上网进行，但最方便合理的，还是通过路由器的设定达成。因为路由器往往是局域网对外的网关，通过路由器管制，通常可集中管理效果，不易有遗漏。路由器可检查每个进出的封包，决定优先处理或者不予处理，以将带宽保留给较重要的应用。以下是从路由器的观点，较常见的带宽管理方式：

依使用者或主机加以管制：我们可针对特定局域网或外部的主机，加以进行管制。例如不允许内部某部计算机上网，或只允许某部计算机上网；或不允许网络用户联机外部某台主机等等。这样的作法，都是通过限制存取某个使用者或主机的方式，进行管制。例如在下图的防火墙配置中，我们看到存取服务规则设定中，可经由设定“来源IP地址”及“目的IP地址”的方式，限制或允许联机的进行。其中来源地址可能是局域网用户，也可能是外界需要服务的地址；目的IP地址也相同。网管可依需要进行配置。

图五：依使用者或主机加以管制是可以采用的方法之一。

对局域网用户而言，以IP进行管制也不是完全没有缺点，有些聪明的用户会自行修改IP，以逃避路由器的管制。有些用户甚至会修改成领导的IP，以取得更高的权限，进行信息的存取及带宽的利用。对于网管人员，这个问题当然要加以解决。还好，每个网络卡都有一个独一无二的识别号码，一般用户很难更改。因此我们可通过“IP与MAC绑定”的功能，规范在分配IP时，某些MAC地址，即网络上的网络卡／主机取得特定的IP地址。若设为其它IP时，则无法上网。这个功能对于智能小区业者及高度敏感的单位网管都很重要。

图六：IP与MAC绑定可确保管控的有效性。

依应用加以管制：我们也可以利用网络应用的端口号，加以进行管制。这就好比军事上针对特定频道加以干扰，破坏通讯的例子一样。由于常见的应用，往往都有特定的端口号，因此我们只要找出对应的端口号，在存取规则设定中，进行允许或限制的执行即可。依应用的端口加以管制。以下的画面，就显示出常用的应用端口号，只要进行设定允许或禁止，即可管制不同应用封包的进出。

除了常见的应用端口号外，面对日新月异的应用，网管也可自行设定应用及对应端口号，以简化日后设定的过程。

图七： 应用的管制是利用网络应用的端口数，加以进行管制。

依内容：最直接的作法，就是针对传送内容进行管制。也就是不想传送什么内容，就通过关键词或文件名管制。在以下的管制设定页面中，我们可以看到网页内容管制设定，是依网页内容所包含的字符串进行管制。而网页字符串，则是通过传送网页的名称或文件名，加以管制。通过这二者的设定，网管可阻绝特定内容的网页，或者是特定文件格式的网页、服务或文件。

图八：针对传送内容进行管制是通过关键词或文件名进行管制。

依WAN口：对于多WAN路由器而言，也可通过不同WAN口的分配模式，将带宽分配到不同的WAN口。Qno的产品可支持三种不同带宽分配模式。IP群组是将特定IP使用者，指定到某个WAN口，它的好处是可将不同群组使用带宽分隔来开，部份群组使用带宽的情况不会影响其它的使用者。IP负载均衡则是路由器会依局域网IP，依次分派到不同WAN口，以平衡带宽的使用，它的好处是同一个IP存取流向都经由同一个WAN口，能适应不同应用的通讯特性，不易出错。智能型负载均衡则是路由器会综合考虑应用、使用带宽、WAN流量、及IP分布，自动进行带宽的分布。通过WAN口的限制，也能有效进行带宽的管理。

图九： 多WAN路由器而言，也可通过不同WAN口的分配模式，将带宽分配到不同的WAN口。

以下显示不同WAN口还可以设定各种管制方式，交叉应用进行管制。

图十：实际的应用往往需要组合不同的管制方法。

除了以上的管制方式外，还有其它的方式可以进行管理。例如在防火墙配置的访问存取规则设定中，每个规则都可设定作用的时间，可按星期或一天的时间进行设定。网管可设定上班时间启动管制，在下班及休息时间不作管制。

以上我们了解了带宽管理的一些技巧后，相信大家对如何作带宽管理有一个基本的了解。