如何利用路由器进行QoS带宽管理

　　在我们了解可使用的带宽管理工具后，网管必须针对面临的问题，进行分析诊断，再适当组合不同的工具，以达到限制或管理的目的。虽然不同网管面临的问题不同，寻求的解决程度也不相同，但是整体来说，要透过路由器进行带宽管理，是有循的方式可以进行的。以下我们简单介绍这个程序，并以几个例子说明如何实际针对问题，加以解决。

　　一般来说，在进行带宽管理或管制时，有以下的步骤可依循：

　　1.定义问题：首先网管必须先了解问题出在什么地方，才能针对问题谋求解决方式。有些问题是因为带宽不足造成，有些问题是因为ISP服务质量不足，而有些则是特定使用者大量下载档案造成。为了定义问题，网管必须从路由器或其它网络监看软件，了解带宽的使用，才能真正定义问题。定义问题对于寻求解决之道提供良好的参考。

　　2.决定解决策略：当了解问题所在后，接下来就是要决定解决策略了。其实要进行带管理不一定全透路由器的配置进行。对于需要管理的应用或使用者，是限制还是禁止？进行限制的时间是那时？是否一体应用于所有的使用者，还是特别的使用者。网管必需考虑实际情况，决定整体解决策略。

　　3.了解关注应用的网络运作：接下来需针对需要进行管理的题目，了解其网络运作情况，例如应用程序名称、通讯端口、服务主机IP、文件输档案扩展名等。常见的应用，很容易在网络上或论坛中找到详细的工作原理，及对应的管制之道。如果是不常见的应用，则必须使用路由器的监控功能或网络监控软件，了解相关的信息。

　　4.决定管制方式：当了解需要管制对象的运作原理后，即可很容易地决定管制的方式。常见的以IP、通讯端口、内容、档名、时间、及WAN端指定的方式，都可应用，或者混合使用。网络论坛上也可找到相关的信息，有些管理方法比其它的方式更为简单有效，最好作些研究再进行处理。

　　5.寻找路由器上相关配置：最后就是落实在路由器的配置上。网管必须仔细阅读路由器的产品说明书，并找出需要的设定实际在配置画面上进行设定。

　　6.进行测试：作完配置后，记得要进行实际的测试，观察相关设定是否生效。许多情况下，往往因为忘记存储或是应用的IP或通讯端口可以改变，导致预期的管制或管理效果并没有作用。所以作完配置后，务必要进行测试，确定达到预期的效果。否则仍需要再找寻其它解决之道。

　　接着，我们下面以几个案例，说明几种常见的带宽管理及管制设定：

　　限定时间上网

　　有一所学校，在上计算器课程时，不希望学生因上网分心，所以希望在上课时间禁止学生上网，而下课及其它时间则不加限制。因为主要的限制为时间，而希望阻绝所有的上网行为，因此我们可透过禁止所有通讯端口服务来达到这个目的。因此，设定重点为：

　　管制动作：禁止／服务埠：所有端口[TCP&UDP/1~65535]／来源接口：局域网／来源埠：任何的／目的IP地址：任何的／时间管制：从周一到周五的早上8点到下午6点。
　　作完设定后，按储存，就可达到上课时间管制学生上网的目的了。

　　网页以外的服务都禁止

　　某间公司由于工作需要，上班时间只允许员工访问网页，其它的上网动作都不允许。由于网页的传送是透过TCP80端口传送，因此我们可以透过只允许TCP/80埠传送来达到这个功能。设定的方式如下：

　　首先比照前例，新增加一条规则禁止所有的封包通过防火墙，也就是说禁止上网；也就是管制动作：禁止／服务埠：所有端口 [TCP&UDP/1~65535]／来源接口：局域网／来源埠：任何的／目的IP地址：任何的／时间管制：从周一到周五的早上9点到下午6点。

　　然后再新增加一条：允许TCP/80埠的封包通过。也就是说管制动作：允许／服务埠：HTTP[TCP/80]／来源界面：任何的／来源IP地址：任何的／目的IP地址：任何的／管制时间：从早上9点到下午6点。最后点击确定完成此设置。

　　这样就可以实现只能访问网页的这个功能了。设定完后，在“规则”页面要注意的是：由于规则是从上向下执行的，所以要把禁止掉连接网络规则放在上，再把打开TCP/80端口规则放到下面，才能达到预期的效果。当然我们也可以透过相同的设定，透过开放电子邮件发送及收信相关的端口，来允许电子邮件服务的通过。

　　禁止用户使用MSN

　　许多公司领导不希望员工上班使用MSN，以免影响工作气氛。MSN Messenger 可以使用埠1863 直接进行TCP 连接或使用80埠进行HTTP 连接来与MSN服务器通信。因此，要禁止MSN，就可以从阻止TCP/1863埠及阻止msn 访问msn.com和hotmail.com的域名着手。

　　阻止TCP/1863埠需进行的设定为：管制动作：禁止／服务埠： [TCP/1863]／来源界面：任何的或局域网／来源IP地址：任何的／目的IP地址：任何的／管制时间：视情况设定。

　　由于MSN还提供Web 版本的MSN, 通过禁止对msn.com的HTTP访问即可,它还提供通过它邮箱的服务器登陆,通过禁止对hotmail.com的访问即可。阻止msn 访问msn.com和hotmail.com的域名的作法为：启动网页字符串符管制，加入msn.com及hotmail.com即可。

　　禁止PP点点通软件

　　PP点点通也是许多网管头痛的应用。禁止PP点点通软件必须透过以下作法来落实：阻止对220.175.8.100 的http访问, 即TCP/80port -不能搜索；阻止来源于LAN 的所有IP 对UDP/9090~9099 端囗的所有访问（不能共享其它PP用户的文件）；阻止来源于LAN 的所有IP 对udp/8094 端囗的所有访问- 不能登录PP；阻止来源于LAN 的所有IP对TCP/5354 端囗的所有访问-不能登录PP。

　　因此，要禁止PP的实际配置将会有以下项目：管制动作：禁止／服务埠：HTTP[TCP/80~80]／日志：关闭或启动／来源埠：局域网／来源IP地址：任何的／目的IP地址：单独220.175.8.100。

　　接下来的设定为：管制动作：禁止／服务埠：UDP[9090~9099]／来源埠：局域网／来源IP地址：任何的／目的IP地址：任何的。

　　管制动作：禁止／服务埠：UDP/8094~8094／日志：关闭或启动／来源埠：局域网／来源IP地址：任何的／目的IP地址：任何的。

　　接着再重复操作增加TCP/5354的禁止规则，即完成“禁止PP点点通”的设置了。

　　防止用户使用BT

　　据技术支持工程师经验，一个BT用户往往可以占用2Mbps的带宽，对于网吧及小区业者，甚或企业网络，都是一个很严重的问题。

　　BT可透过过滤BT种子进行阻绝，由于BT种子文件名称都为有”.torrent”的字符串，所以我们可以利用这个功能加以过滤。相关的设定为：启动网页字符串管制，新增输入要过滤的关键词”.torrent”即可。时间管制设定全部或到某一时间开始到某一时间失效。可以使用在非工作时间失效, 结合下面的日期, 可以控制在工作天上班时间禁止访问带某些关键词的网页,如果要禁止所有时段,即选择全部。按下确定按钮, 使设置生效。