pfSense带宽管理：配置流量整形器

SAM作为算法交易公司的网络分析师。他从UMKC获得了学士学位的信息技术学位。

pfSense带宽管理器：设置和管理

有效的带宽管理对任何网络的性能都至关重要。在大多数网络中，许多用户共享一个internet连接。

共享网络上最大的问题是，一个用户可能会占用所有可用的internet带宽，从而降低所有其他用户的连接速度。如果您的网络具有关键流量（如VOIP），则高带宽用户可能会产生更大的问题，这取决于是否有足够的带宽来工作。

解决这类问题的方法是实现流量整形系统。流量整形可以优先考虑重要或时间关键型网络流量，以保证性能，同时限制不太重要的流量。

在本文中，我将向您展示如何使用pfSense（一种开源防火墙）来配置流量整形以管理网络带宽。

如果您不熟悉PFSENSE，您可能希望阅读PFSense介绍第一.

如何在用户中找到高带宽

为了正确地管理带宽使用，您需要确定谁使用了最多的带宽以及原因。

PfSense提供了一个名为Darkstat的包，它可以快速让您了解网络上正在发生的事情。

DarkStat创建一个由上传和下载流量使用的主机列表。您还可以在此报告上钻取，以查看哪些TCP或UDP端口构成该使用。此信息可用于确定交通整流器是否有助于您的网络，如果是的话，您应该塑造哪些端口。

如何使用流量整形器设置和配置pfSense带宽

本文中的说明是为pfSense 2.0版创建的；如果您尚未升级到最新版本，我建议您先升级。版本2.0中的流量整形器与以前的版本相比有很多改进。

在下面的部分中，我已经包括设置过程的每个步骤的屏幕截图以及每个页面的描述。完成以下步骤后，您将为您的家庭或公司网络拥有一个功能全功能的交通整流器。

步骤1：运行整形器向导

要开始，请使用Web界面登录PFSense系统。接下来，打开“防火墙”选项卡下的“流量整形”菜单。

PfSense允许您手动配置流量整形器，尽管我建议您使用流量整形器向导，然后根据需要进行调整。

单击“向导”选项卡，然后选择与当前设置匹配的向导链接。我的pfsense系统被设置为双WAN路由器，因此我将使用单个LAN多WAN向导。如果您只有单个WAN和LAN连接，则应使用此向导。

步骤2：指定Wan连接

在下一步中，您需要输入路由器上的WAN连接数。如果您有单WAN路由器，只需输入“1”。如果您有双WAN路由器，则输入“2”。如果您不确定配置了多少接口，请单击“状态”选项卡，然后选择“接口”。

步骤3：成型器配置

在shaper配置页面上，您需要做的第一件事是选择LAN调度程序。

我建议使用默认值，即HFSC（分层公平服务曲线）。如果您只需要非常基本的成形，那么可以使用PRIQ（优先级队列），它很容易修改，但效率不高。

在连接上传框中，我建议输入连接最大带宽的“97%”。例如，如果您的ISP向您提供1Mbps（1000Kbps）的上行，那么您将乘以1000 x 97%得到970Kbps。这将确保数据包在pfSense系统上排队，而不是在上游路由器上排队，而上游路由器是您无法控制的。

在连接下载框中，输入连接的最大下降速度。

如果您不确定连接速度，请联系您的ISP或使用在线速度测试来获得估计值。您可能需要稍微调整这些设置，以找到连接的最佳配置。

步骤4：IP语音设置

如果您使用的是VOIP电话，您可能希望对电话发送的流量进行优先级排序。单击复选框以启用此设置。然后从列表中选择您的VOIP提供商。

如果你的供应商没有列出，选择“通用”，然后输入你的VOIP电话的IP。如果您的网络上有多个VOIP电话，您可以创建一个由多个主机组成的别名(防火墙\别名)。

如果未使用VOIP，请禁用此设置，然后单击“下一步”。

第五步：处罚箱

如果您的网络上有一个或多个主机正在使用大部分带宽，您可以将它们放在“惩罚框”中，以将其使用限制在可用带宽的某个百分比内。与前面的设置一样，如果需要列出多个主机，则需要创建别名。

步骤6：点对点网络

在“向导”的本节中，您可以指定是否将对等网络流量除去。几乎每个人都希望启用此设置，因为P2P流量通常是网络上的Internet带宽最大的用户。启用每个应用程序旁边的复选框，您希望交通整流器在网络上查找。

您还可以启用P2P Catch-All设置来惩罚未分类的流量。如果启用此设置，则会在流设整形器中专门分类的任何流量都将被视为P2P流量。一般来说，我不喜欢使用这个设置，因为我觉得它太广泛了，但如果你想采取侵略性的方法来塑造，你可以启用这个设置。

如果有一个特定的协议，你需要阻止没有列出，我将告诉你如何手动创建一个规则，在本指南的后面。

第7步：优先考虑游戏流量

在网络游戏页面上，您可以在网络上授予游戏流量优先级。这对于降低对时间非常敏感的游戏流量的延迟非常有用。

启用此设置后，网络上的用户仍可以上载/下载文件，而不会影响用户玩游戏。例如，MMORPG游戏的玩家喜欢魔兽世界可以通过启用此选项来改进其ping次数。

步骤8：其他应用程序

您还可以在个人基础上提升或降低分配给不同应用程序的优先级。此页面上的大多数选项取决于您在网络上使用的应用程序。大多数用户可能希望提高HTTP，DNS和ICMP的优先级。根据电子邮件到您的网络的重要性程度，您可以在队列中提升或降低其位置。

如果向导没有列出您需要的所有应用程序，那么您可以创建自己的自定义流量调整规则。

步骤9：自定义规则

如果向导未列出您要调整流量的应用程序或协议，则可以根据需要添加或编辑向导创建的规则。可在Firewall\rules页面上找到整形器创建的规则。单击标签为“浮动”的选项卡，您将看到向导生成的规则列表。

如果您没有看到规则，请再次运行向导，并确保已启用了应用程序。有时您需要取消选择/选择复选框。如果选项呈灰色，则不会启用它们。

如果需要，可以调整现有规则的端口或创建全新的规则。最简单的方法是基于现有规则创建一个规则，该规则与您尝试实现的规则类似。要执行此操作，请单击要复制的规则旁边的加号。对于队列名称的用途，它们是不言自明的。

有关所有队列及其当前设置的列表，请打开防火墙菜单中的流量整形器页面。

pfSense带宽管理：监控队列状态

完成设置Shaper后，我建议监控队列的状态。在重大带宽使用期间检查队列是一个好主意，以确保一切正常工作。您可能会发现您需要随时间制作小调整以改善系统。

队列状态页面位于诊断菜单下。如果队列显示下降，则通信量超过分配给该队列的带宽量。在P2P队列或其他低优先级队列上进行丢弃是正常的：这意味着流量整形器正在完成它的工作。

如果您在ack或默认队列上看到下降，那么您可能需要向它们授予更多带宽。这可以通过单击要调整的队列在“流量整形器设置”页面上完成。

在大量下载期间，确认（Acknowledgets）可能会占用您总带宽的很大一部分。计算机越快确认收到数据包，发送计算机就越快发送下一段文件，因此您希望这些数据包迅速离开您的网络。

深包检查

深度数据包检查，也称为第7层成形，基于数据包的内容而不仅仅是源端口或目标端口来识别通信量。如果您试图管理使用许多不同端口号的流量，则应使用深度数据包检查。

此功能仅在PFSense版本2.0和更新中找到。

要为此类流量创建规则，请单击防火墙\流量整形器下的第7层选项卡。您可以创建规则来阻止某些协议或将其路由到其中一个队列。

本文对提交人的知识最为准确而诚实。内容仅供参观或娱乐目的，并不能替代商业，财务，法律或技术问题的个人律师或专业建议。

评论

王杰克2017年6月10日：

伟大的

很棒的教程！2017年4月4日：

非常感谢你！

约翰2017年2月8日：

您好，我如何设置一个用户不使用所有带宽，而其他用户无法访问internet？

咀嚼建悦2016年2月25日：

感谢本教程，当我真的需要它时，我会仔细阅读它！

sunnynanade2015年12月4日：

另一个我需要配置光鱿鱼的帮助。我怎样才能得到IP的真实名称?如何我可以组IP，以便当我需要时，我可以禁用一些特定组的网络。

sunnynanade2015年12月4日：

嗨，我如何给网络流量优先?我们学院的行政部门经常使用的网站有很多。我如何使设置，使网站快速打开。我怎么阻止种子下载完全，我也不想优先直接下载。

我觉得这本教程很棒，它本身就很完整。非常感谢。：）

标记2015年11月26日：

很好的教程。。我可以请你帮个忙吗？我有2个ISP，我想在我的网络上将游戏和浏览分开。ISP-A=浏览，ISP-B=在线游戏。这是为了避免我的在线游戏落后。。你对此有什么想法吗

谢谢2015年11月11日：

非常好的教程。

约翰辛2015年10月07日:

伟大的图茨斯凯尔语非常有用。

莱蒂雷拉我不知道2015年3月29日的一半时间：

伟大的枢纽

道格2012年3月05日：

值得一提的是，流量整形器队列似乎已从诊断菜单中移出。现在可以在状态队列下找到它。

Anon.2012年1月12日：

我尝试了你的指南，但我似乎无法限制我的带宽使用情况。我也试过限制器，他们似乎没有工作。在5MB的连接上，即使我将限制器设置为1MB，它也会最大限度地熄灭

山姆·基尔（作者）2011年12月19日来自堪萨斯市：

@happyturtle-感谢您的评论。我确实计划在将来添加一些视频。您不是第一个请求的人：）

快乐之旅2011年12月19日从英国发来：

谢谢令人震惊。你有什么计划发布视频吗？

山姆·基尔（作者）2011年12月19日来自堪萨斯市：

@maxravi - 谢谢！视频是一个很好的建议，我会努力。

雷维·辛格2011年12月19日来自印度：

谢谢你的主题。如果你能添加一个视频，我会很高兴的。投票了！

mark2011年11月26日：

嗨，谢谢你的有用指南。它也可以在使用俘虏授权门户时为所有用户提供最小带宽（这将是WAN带宽/县用户）。

山姆·基尔（作者）2011年6月22日，堪萨斯城：

@maistrucfp

查看http://tinyurl.com/343g3mq,底部有一些基本故障排除步骤。

确保您的客户端已设置为DHCP，以便他们可以从pfSense获取ip地址。尝试从您的客户那里ping pfSense的局域网。

山姆·基尔（作者）来自2011年5月12日的堪萨斯城：

@zephxiii

很好的建议，我必须这样做。我很高兴你发现它很有用！

zephxiii2011年5月12日：

哦，我的天哪，你应该强调一下流量塑造中有关自定义端口的部分。我发誓我已经搜索了所有的地方（甚至在他们的论坛上），想知道如何做到这一点。thhhhanx！！！！