最近在公司接手了网络管理的活,目前用着两台电信线路接入,一条说是不限制连接数的专线(上行 40M 下行 200M ),一条普通拨号上网的企业宽带(上行 100M 下行 1000M )。
出口路由:TP-Link ER6220T (两条线路做负载均衡) 核心三层交换机:TP-Link SG5428 ( DHCP 服务器、VLAN ) 设备:台式电脑 + 员工手机 + 一些其他设备(大概 300 设备在线)
之前是两条普通拨号宽带,每天都有几个时间段特别慢,网页都打不开。咨询过电信和 TP 的工程师,TP 那边远程抓包分析了一周说是连接数过高才把其中一条升级到专线,好使了半年左右最近又开始了,想问问各位大佬有什么其他办法可以解决这种问题?感谢大佬们~
PS:可以加钱,也可以换设备,但最好有数据 “展示” 给领导看才能申请到费用。
 |
1
luny 9 天前
有没有可能是需要针对每个终端限速,下载客户端一开,上传打满,就卡网了
|
 |
2
duanxianze 9 天前  1
不应该吧,现在都有 ipv6 了吧,设置 ipv6 优先,不会出现连接数不够的问题吧
|
 |
3
sleepm 9 天前
软路由器加大内存
|
 |
4
luoyide2010 9 天前
如果负载均衡规则没问题,那么卡顿原因很可能的是连接数超上限了,你先问问运营商客户经理那条非专线有没有限制连接数,有限制就升级套餐。路由器里面的连接数也别限制太死,不然很容易就出现网络卡顿的
|
 |
5
ThirdFlame 9 天前
大概率是负载均衡的锅。
出口的两条线路用两台设备。 在核心的三层交换机上做策略路由,一部分设备(一部分 vlan 和 IP ) 走线路 1 、另一部分走线路 2 人肉均衡 如果出问题了,也一般只影响一部分用户,你也容易分辨问题到底处在了哪里 |
 |
6
Fooooo0 9 天前
我司(广州电信)有类似的情况,半年前开始说限制连接数(3000 连接数),我们各种渠道投诉也没办法去掉这个限制,最后只能通过专线来解决了。
|
 |
7
holoto 9 天前
网管路由器里面 设置规则 把国内的视频网站都屏蔽掉 这些随便一个 app 打开 就是 5000+的 pcdn 链接
|
 |
8
xhcnb 9 天前 1
软路由限制每个终端的连接数, 我们办公室设置终端连接数上限 250 个(TCP+UDP)使用一切正常, 之前我还设置过使用 vpn 隧道来减少链接数, 另外内网最好有一个 dns 服务器, 开缓存同时使用 tcp 长连接连接上级公共 dns
|
|
9
xhcnb 9 天前
可以先在交换机上开个流量镜像审计一下都是什么连接, 使用 ntopng 等工具, 或者干脆在流量镜像那里接一个爱快的 LAN(DHCP 关闭), 爱快会把收到的数据包都分析出来展示
|
 |
10
qwvy2g 9 天前 via Android
现在运营商搞 pcdn 除了明面上的限制上行,偷偷手段有限制连接数和降低 QoS 等方式。
|
 |
11
klxyy 9 天前
直接杀终端连接数最快解决问题,但是上网体验不好,建议直接封 BT 下载就没事了
|
 |
12
SuperGeorge 9 天前
这个下 200M 上 40M 是什么专线?我们主线是 300M 对等带固定 IP 的电信专线,备用线路是 300M/50M 带动态公网的商宽,专线直连杭州城域网,没感觉到有什么连接数限制。
|
 |
13
psirnull 9 天前 1
换路由器
|
 |
14
wuxiao2522 9 天前
上 panabit 流控,把 P2P 全部封禁了。
|
|
15
wuxiao2522 9 天前
另外专线建议换上下行对等的,带固定 IP 地址的那种。
|
 |
16
wu67 9 天前 via Android
限制 wifi 的速度,有线的不限,把手机用户逼走就行,他们打个卡就够了。
手机端发起和接入的连接数简直爆炸,尤其是小红薯和痘印看直播的,那个 pcdn 连接单客户端就能搞出几百个... |
 |
17
lcy630409 9 天前
最基础的测试 卡的时候 ping 一下路由 ping 一下电信网关 ping 一下 dns 看一下是不是内网的问题
你这路由能看到每个客户端的连接数 和 下载速度么?不能就先换了 换路由器 搞个办公电脑 jd 买个双网卡 不超过 100 块 装个 ikuai ,先看一下各个客户端的连接情况再说 |
|
18
lcy630409 9 天前
之后 就是分流了,ikuai 基本能满足你们公司的需求
传统路由器 不直观 对于不是专业网络管理的人来说 太麻烦了 |
 |
19
yc8332 9 天前
300 个设备就不行了?感觉不可能啊,先分析下连接数到底多少,然后看看流量。。。搞个 ikuai 系统,然后可以针对性的分析、限速、限连接数
|
 |
20
alect 9 天前
我之前也遇到过,最简单有效的方法是限制每个内网 IP 的连接数
|
 |
21
iphoneXr 9 天前
我的建议是上爱快企业级路由器,做下流控策略,限制下每个终端的连接数和网速。
|
 |
22
markchen88 9 天前
没流控,
|
 |
23
wolffcat 9 天前 via Android
这简单 你这三层设备都有了 所设备不管怎么链路什么网段 都在核心拿 IP 每个 IP 做连接数限制
不过 tp 太不专业了 上华为 单端口连接数复用专利 人家一个端口号能负担好几个连接数 |
 |
24
plnl 9 天前
你需要一条企业上下行对等可以备案的专线。联通带公网 ip 的极速宽带也可以
|
 |
25
devswork 9 天前
我们这是 4 线接入,ikuai 企业路由,按照新建连接数 1:1:1:1 ,然后每个用户 250 封顶连接数,共享限速上传 10MB/s + 下载 100MB/s
|
 |
26
Mitsumune 9 天前
有多少连接数?建议查一下是什么服务建立了大量的连接。
我最近也遇到了,卡的时候发现连接数到了 8W ,后台查看往 360 爬虫和谷歌云的 IP 段 建立了大量的连接,在防火墙把这几个 IP 段 ban 了就解决了,连接数瞬间减半,到了 4W 。 |
 |
27
Soo0 9 天前 via iPhone
负载模式怎么配置的,出现问题的时候各线路的连接数 带宽利用情况?找到问题根源,确认问题了在看怎么解决
|
 |
29
crac 9 天前 via iPhone
这题我熟,路由器问题,我也用过这个型号,也是在公司双线接入,也是一样的问题, 换了 MikroTik 好了
|
 |
31
zackxu233 OP @duanxianze 目前没有启用 IPv6 呢,开启了不安全(领导说的
|
|
32
zackxu233 OP @sleepm 最早其实就是用软路由跑,那会人不多倒还好,用过 OpenWRT 和 RouterOS 然后不是很稳定就换 了“专业的” TP 全家桶。
|
|
33
zackxu233 OP @luoyide2010 用过负载均衡、连接均衡、DNS 均衡,都没什么效果。专线是跟电信商务经理确认过没有限制的
|
|
34
zackxu233 OP @ThirdFlame 这方法也试过,单专线或者单普通宽带,都不足以支撑一半的设备,上班时间也不敢乱改,上次尝试把电商部门单独分配给专线结果全部上不了网 囧
|
|
37
zackxu233 OP @wuxiao2522 目前这个专线已经是带固定 IP 的,电信报价上下行对等的城域网是 100M 每月 7k 。
|
|
39
zackxu233 OP 非常感谢各位大佬的热心建议,我准备用 Dell 服务器开个虚拟 iKuai 或者 RouterOS 试试,看能不能把这些吃连接数和带宽的揪出来。TP 这套设备的功能太简陋了,当然也有可能我太菜,还是得多学习~
|
|
40
zackxu233 OP @lcy630409 卡的时候,ping 路由器、交换机等设备都是通的也没什么波动,反而 ping DNS 或者域名直接超时,所以以我粗浅的经验来看还是连接数这部分的问题,因为同一时期我看带宽占用并不高。
|
|
43
wolffcat 9 天前 via Android
@zackxu233 op 先生! 给你一个新思路
我看你目前做的工作都在三层方面 负载均衡...之类 鄙人说道说道你二层方面工作做了吗? RLDP 防环路、DHCP snooping 、广播风暴抑制、单端口 MAC 数限制、arp 绑定 先生 希望你的二层设备(或者你的三层交换)带网管功能 |
|
44
wolffcat 9 天前 via Android
|
|
45
wolffcat 9 天前 via Android
@zackxu233 看了一眼我单位 16 年老设备 RG-S2928G-V2 ,也许它的命令行,比 tp 功能多一些可能!我对 tp 有严重偏见。
|
|
46
zackxu233 OP @wolffcat 二层功能好像只打开了防环路和广播风暴抑制(我感觉没什么效果),但确实是个新思路,不过这方面的设置我确实不熟得研究下。实际环境的网线状况有些复杂,有些埋在地板里的还是上一任业主留下了的 囧
|
 |
47
Ipsum 9 天前
拿单位报废电脑装个爱快试试?反正之前跑 pt ,连接数 10 万+都没问题。
|
|
48
duanxianze 9 天前
@zackxu233 #31 歪日 领导这是个啥奇葩理由啊
|
|
49
luoyide2010 9 天前
@zackxu233 专线肯定不限制连接数,我问的是非专线那条,负载均衡后,如果非专线那条连接数超了,那么使用非专线这边的人肯定会卡,看你说部署 ADGuardHome 后有改善,本地 DNS 可以让连接数减少很多,连接数问题的可能性更大大增加了,最简单方法就是再搞条专线,联通上行 100M 下行 500M 大概五千左右,你可以考虑办一条
|
 |
50
lostsquirrelX 9 天前
上监控,拿数据,出报告
|
|
53
wolffcat 9 天前
我看到有些 V 友提出连接数超过 65535 ,非常不解,单 IP 就 65535 个端口,普通路由一个出口就 65535 个连接数,所有设备如果是单网关接入就算双出口单网关一个 IP 也限到了 65535 ,可以考虑多网关负载连接数,深信服有一套动态随机虚拟网关出口。
以/24 为例 10.10.10.0/24 下一跳 虚拟出来的网关 IP 下一条 出口专线 1 10.10.8.0/24 下一跳 虚拟出来的网关 IP 下一条 出口专线 2 直接贴华为文吧 https://support.huawei.com/enterprise/zh/knowledge/EKB1000017722 一个 NAT 地址的有效端口在 4.5 万左右,应该考虑多个 NAT 地址 |
 |
54
fengfisher3 9 天前
把 TP 换掉就可以解决,TP 路由器人少,个人用用还行,人一多,就是不行。
亲身经验,换路由器,一切都爽。 |
 |
55
shenqi 9 天前
我看了那么多回复,感觉也就 @ThirdFlame 5 楼的意见和我的一致。
需求就是让路由器做负载均衡,但是负载均衡不知道你访问的这个网站具体用的是哪个宽带,这又是一个不合理的需求场景。 按照你这个宽带场景,我猜测:看抖音小红书之类的娱乐或者普通上网,就走跑普通的宽带。对外暴露端口共外网使用(例如外部连接回来的 vpn )的就使用专线。 而不是说所有手机连上 wifi 后自动让交换机选择走哪个宽带。 这个时候的场景就是,所有的办公设备都走普通宽带来访问互联网。这时候卡是必然的,连接数超了,因为多数中午玩手机时候看视频必然一大堆连接数然后卡顿。 唯一的解决方法就是加钱,抛弃旧的普通宽带,升级专线宽带。 |
 |
56
lirno 8 天前
宽带现在不贵 可以试试用爱快软路由进行负载分担 或者把办公和 WiFi 进行一些区分 或者就是做上网行为管理了 如果只是上网软路由感觉很好用
|
 |
57
life90 8 天前
本人经历过你这些问题。我的解决方法是这样的:
1 ,检查除连接数以外的条件是否有瓶颈。如果只是某个时段会这样,以我的经验,300 终端(我猜员工在 100 左右吧)理论上不是全打满的话。你这个配置应该是够用的。检查路由器转发,或进行压力测试。看下卡的时段,路由器 cpu 占用量是否满了。或其他交换机设备是否有瓶颈问题。 2 ,检查 dns 配置。确认上面都没有问题。dns 设置其实在你这种负债均衡的情况下尤为重要。你没说这两条宽带是否同一家运营商,如果是还好一点,如果不是。那你的负载均衡就要根据 dns 返回的结果做相应调整。不然联通跑电信去上网。在网络不拥挤的时候,他不会有卡的问题。但是一旦高峰期,这个配置就会导致卡顿。 3 ,查看本栋楼的出口带宽是多少。向管理辖区的电信师傅询问下整栋楼的出口带宽是多少。如果确认以上都没问题。大概率问题就出在这。运营商超卖宽带。超卖的结果就是,平时无问题。大流量的时候,巨卡。 |
 |
58
j2001588 8 天前
300 人的网络直接上华为的防火墙和三层交换机吧,作为一个管理上万人的企业网得到的经验给你参考一下,划 3 个 vlan 和 3 段内网地址区分一下,把重要的业务放在专线上跑,不重要的业务放在宽带上跑,(每个内网 IP 地址限速上行 4M ,下行 20M )每个 IP 的连接数限制 500 个,如果还不够可以考虑限制 300 个,再低就会影响体验了,然后把 BT 封掉是关键
|
 |
59
datocp 8 天前 via Android
tplink 也有 qos ???声称带 512 个终端,面对 20mbps 的网络也无能为力。。。根本看不上 tplink ,似乎只有 ip 限速和百分比 2 种,至于内部策略到底是怎么运行的,不知道。
openwrt 使用了 1.首先 tcp/udp timeout 能设置,决定了连接何时消亡,这就是所谓的并发控制 2.如果真的有并发数限制,试过比较好的方法是 iptables limit 比较平和,也能有效的压抑流量。但是亢长的 iptables 规则匹配也非常耗 cpu 3.深入学习了 tomato 的 qos 上行按目的端口分级有效的做到高优先级业务出列 下行按有流量的 ip 拥有最高优先极,却只能使用总下行的 60%。其它流量次之却拥有 100%的流量。相比那种根据 ip 或者 ip 组来限制,做到到每秒 100%流量调用。 在动态 qos 的加持做到了保障高优先级流量,无视 p2p 的存在。市面上的路由还是没有能跑 shell 脚本的 openwrt 厉害啊。 |
|
61
zackxu233 OP 今天在 TP 工程师的指导下改了设置,暂时良好,估计要观察几天看看,同时已经把占用连接数过多的设备揪出来了几个。
路由器设置: 1. 负载均衡改为流量均衡,设置权重是宽带和专线是 8:2 。 2. 连接数限制了 500 。 3. 策略路由把财务人员的走专线出口。( TP 那边说以前在 NATP 那里改是不对的) 4. 行为管控那里禁止了迅雷、百度网盘、还有几个视频网站。(下班后以及周末等非工作时间放开限制) 同时找行政颁布了几条规定: 1. 工作时间不允许长时间占用大量宽带资源。 2. 临时需要的大量下载的找网管走其他线路解决。 3. 完善固定 IP 分配,尽量做到一设备一 IP 并登记。(后续可能会考虑关闭有线连接所属 VLAN 的 DHCP 功能) 4. 手机这些 Wi-Fi 设备关闭 “随机 MAC 地址” 功能,以防止反复连接后耗光地址。 总之,感谢各位大佬的帮助,让我学习了很多,受益匪浅~ |
 |
62
zktz 8 天前
@zackxu233 我这也是,每天 9:00~9:30 就会连不上。重启光猫能缓解,电信说我跑 pcdn 业务要封我。我说没跑。电信说那就每天重启光猫。我用定时开关 8:50 重启。但是有时候 9 点多还是不行。
过了 9:30 ,一整天都没问题。人还是这么多人。看片还是这么多人看片。 |
 |
64
starinmars 6 天前
开启 IPv6 、DNS 双协议解析、只开启 DHCPv6 有状态、分 ULA 地址、出口用前缀转换、路由通告设置 IPv6 优先,原来行为策略该怎么做还是怎么做。说服你的领导,介绍该方案的优点:成本低、响应快、不影响用户正常使用。 方案做成了功劳本上可以记一笔,升职加薪不是梦!
|
 |
65
huaxie1988 4 天前 via Android
我有个想法,没有公网 ip 的那条宽带修改 nat 规则,限制 nat 后端口数量不超 2000 个,因为运营商是 nat1 ,而自己的网关一般是 nat4 ,这样自己网关这边可以复用端口到运营商这边也就不会超连接数了。
|
 |
66
Xiaoxqian 4 天前
感觉几个方向吧供参考
1. 负载均衡策略 出口切换过于频繁可能访问某个站点短时间内 一会 a 出口 一会 b 出口 ,我们专业的 nat 设备出过类似的问题 流量 40Gbps 教育网+联通,来回切换,那酸爽,但是 nat 设备日志显示正常,通过搞了个测试站才发现的 调整了负载策略解决的 2. 部署透明代理 其实也是终端数太多了没办法的办法,就是多一层 nat , 3. 会话快速老化 4. 专线问题 这种不对等的专线,只要不是静态 ip ,城域网接入,但凡通过了 bras 接入(收发器,pon 或者 otn 等等) 就会有这种问题 要么加钱,要么加线路, 比如 routeros 的多线 pcc 负载(一定配合源进源出,这个 ruijie 的路由器自带 就是那个 nbr 路由器效果还行),或者多 isp 多线,拉个 bgp 的路由表导进 routeros 5. 设备层面 说实话 TP 还是不行,ruijie 都比它强很多,毕竟好歹也是正经的数通设备厂家 6. 最后 dns 不论以上是否成立,可以考虑下部署内部的 dns 服务器 不论是缓存也好,还是控制特定域名解析,或者流量调度,dns 配合出口才能最大化实现目的 |
|
67
zackxu233 OP @starinmars 主要是这几个方面:
1. IPv6 相对于全球地址了,不安全,尤其是没有单独防火墙的情况下(🤷说了又不买)。 2. 不便于静态分配,也不利于管理,最重要的是记不住这个地址。 3. 移动端还好,PC 端目前还是处于不太能用的水平。 |
|
68
zackxu233 OP @Xiaoxqian 用流量均衡的话,经常变化出口问题确实蛋疼,尤其是财务和行政,他们用的那些网站发现你出口 IP 返回时不一样就会拒绝连接了。
设备目前可能真的到瓶颈了,华为贵上天还要付费解锁硬件功能,华三的之前买过一套还不如现在的 TP ,ikuai 就算了,估计只剩 Mikrotik 或者锐捷可以看看了。 |
|
69
huaxie1988 4 天前
如果使用 openwrt 且使用的 iptables 而不是 nftables ,取消区域间 MASQUERADE ,然后配置如下防火墙规则,可以限制 nat 后端口,从而防止运营商侧连接数不够
config nat option name 'nat_tccpudp' list proto 'tcp' list proto 'udp' option src 'wan' option target 'MASQUERADE' option extra '! -s 100.64.0.0/10 --to-ports 61000-62900 ' option family 'ipv4' config nat option name 'nat_icmp' list proto 'icmp' option src 'wan' option target 'MASQUERADE' option family 'ipv4' option extra '! -s 100.64.0.0/10' |
|
70
Xiaoxqian 3 天前
@zackxu233 换 mikrotik(软路由也行)或者锐捷吧,如果不考虑换设备可以考虑关闭负载均衡,使用 PBR(策略路由方式) 让 d-nat 服务(如有) 财务能重要部门或者 IP 走专线,其他的走非专线;
|
 |
71
piero66 2 天前
首先先扔掉垃圾 tplink
|
|
73
zackxu233 OP @Xiaoxqian 另外你说的这种分线路的方式其实有试过,单专线的 40M 上行,或者非专线的连接数,都不足以支撑正常上网,得双线负载均衡才能维持基本上网。😂
|
 |
74
xyz3210 2 天前 via iPhone
以前在租房的时候,房东 500 兆电信给一栋楼用。接触的时候也是卡的没法玩。后来拿到管理员权限,监控了三四天分析租户上网时间以及各个应用流量和协议流量。调整了几次 qos 。又监控了几天,没什么问题。之前无法打游戏,调整后玩游戏的延迟比外面高了十几毫秒,但能用了。一个五层楼,有一百多人吧!
|
Select Language