最近改进了一下iptables策略感觉 网络质量好多了

# iptables -vnL
Chain INPUT (policy DROP 11295 packets, 2190K bytes)
 pkts bytes target     prot opt in     out     source               destination

 2080  333K ACCEPT     0    --  vlan1  *       172.17.10.1          0.0.0.0/0

 1380 44160 ACCEPT     0    --  vlan1  *       172.17.1.1           0.0.0.0/0

    0     0 DROP       0    --  br0    *       0.0.0.0/0            172.17.167.1
9
  183 12320 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
        state INVALID
11820 1343K ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED,ESTABLISHED
15016 1457K ACCEPT     0    --  br0    *       0.0.0.0/0            0.0.0.0/0

   15   840 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0

  304 18240 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

    0     0 REJECT     tcp  --  vlan1  *      !192.168.1.0/24       0.0.0.0/0
        tcp dpt:23 reject-with tcp-reset
    0     0 REJECT     tcp  --  vlan1  *      !192.168.1.0/24       0.0.0.0/0
        tcp dpt:80 reject-with tcp-reset
1399K  129M DROP       0    --  vlan1  *       172.17.0.0/16        0.0.0.0/0

内网包直接drop掉1399k个 不知道是什么包

路由开机5天

# uptime
 22:25:39 up 5 days,  3:56, load average: 0.08, 0.03, 0.03

iptables 昨天晚上配置的。（计数器清零）

这个结果我很惊讶。

看来学校的网络架构很恶心了，通过用抓包软件获得  广播包为80-90/S

今晚8点在线主机436台。 其中包括学校核心路由1太 dhcp1太 computer lab 核心机5台 web服务器3台 应该还有几台路由

可想而知网速为什么那么慢了。

都快广播风暴了。按理来说应该100台机器配一个路由来隔离广播域    

事实上不知道是不是如此。 如果没错100台机器一个路由   广播包为80-90/S 太。。。。。了吧  肯定是广播风暴。

或者是在路由上开了arp代理？  但是按照默认网关是172.17.1.1 mask 255.255.0.0 可以确定只有一个路由没有分子网

40%的网络被无用的广播包占据。

网关至少65000个端口 刨去3000个常用的至少还有 60000个端口可以用在做nat

60000/400= 150 port/ip 。。。这个数字很保守了 

可能还是主机配置的有些问题 端口大概只开了1w 所以会造成网络很慢。

没有具体数据先写这么多吧

对了峰值主机不一定是436台   oak 250人 max

pinahall至少500人 所以峰值大概在600台电脑  600台 影响网速的还是 广播包 和 nat端口 如果多家几台路由  分成100台主机的一个小网 估计性能提升不止是1倍2倍的了