优化大型局域网之一 — 封闭UDP端口

显示全部楼层 · 发表于 2013-3-23 15:11:26

本帖最后由 peng85344558 于 2013-3-23 15:29 编辑

前段时间经常有同事反映说网络速度慢，经过我近一段时间对局域网流量的观察，发现其中一些问题，特此分享出来，仅供参考。因为目前端口已封，目前没有该图片说明。

1.音乐类软件（如QQ音乐、酷狗）：众所周知这些音乐会通过P2P式共享本地的音乐，造成网络连接数过大、上传流量流失的情况。一般对该软件的管理方法是通过QOS限制带宽、连接数限制（当然可以限制该软件上传、启动），但是仍然会出现不同程度局域网上网速度较慢的情况。

2.杀毒软件静默上传下载：一般杀毒软件会需要更新病毒库，上传可疑样本，有甚是修复漏洞，一般更新都是使用UDP端口进行上传下载，并且各台电脑更新时间比较集中（这个不用我解释了吧）。

3.QQ文件传输：这点在大型局域网是最为头疼的，使用QQ文件进行外网传输，速度一般会在10-100k内（局域网带宽为20M以上），如果传输时间大于5分钟，局域网内上网速度将会变得缓慢，并且随之传输时间越长，网络越为慢，造成一人传输，全网拖死。传输使用端口也是UDP端口。

以上对于网络速度的检测，是基于使用ping 域名的形式进行用时的记录，以及网内同事反映用网的情况。

通过以上说明，带出一个UDP端口传输的问题。我们知道，路由器上面流量进出使用的端口，正是TCP端口和UDP端口，其中UDP端口常用于路由器对域名做DNS解析，以及软件建立无连接数据传输服务。我下面重点说明下其严重性：

1.用于路由器对域名做DNS解析：各位都知道，访问一个网站需要对域名做DNS解析，获取到该域名的IP，方能连接到该服务器。但是由于多数流量使用UDP端口，造成路由器上面UDP端口阻塞，从而路由器无法正确高效解读出IP，从而出现了网页连接缓慢，甚至是找不到该网站。

2.软件建立无连接数据传输服务：引用百度百科的一段话，

1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当 UDP
它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。
（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

软件使用UDP进行传输，可以实现多点传输，从而造成连接数过大，还有1的情况。

由于路由使用DNS解析，使用到的端口段分布在0-1300,50000以上的区间，而一般软件使用端口均在1500-48000间，对此可以关闭局域网内1500-49000的UDP端口，见图

经过一段时间的检测，目前各电脑上网正常，软件使用正常，QQ文件传输均使用TCP端口，传输速度和以前一样，并且在传输过程，局域网未发生拖慢的情况。相对缺点是软件的连接、QQ文件连接均需要3-10秒才能正常连接。

ps：我就随手写下，流量图片因为端口已关闭，没法提供出来。
ps2：该方法仅针对大型局域网，对于不能禁止该类软件运行、不好使用QOS、连接数限制的情况，可以很好优化网络的情况。但是每个局域网的情况不一，使用的软件不一，如使用该方法，需要对各软件做流量端口的分析，建议使用嗅探狗等监控软件做多次记录。对于小型局域网，没有必要关闭该类端口，因为路由器根本不会出现压力过大的情况。
ps3：本局域网涉及到的非XP系统，默认不做封闭，所以如需要对非XP系统做处理，烦请详细分析所需端口。

显示全部楼层 · 发表于 2013-3-23 15:13:04

写的好多
支持了

显示全部楼层 · 发表于 2013-3-23 15:20:34

“造成路由器上面UDP端口阻塞，从而路由器无法正确高效解读IP”
路由器UDP端口阻塞 --- 是网络阻塞的意思？
无法正确高效解读IP --- DNS解析？

显示全部楼层 · 发表于 2013-3-23 15:23:32

thelord 发表于 2013-3-23 15:20
“造成路由器上面UDP端口阻塞，从而路由器无法正确高效解读IP”
路由器UDP端口阻塞 --- 是网络阻塞的意思？ ...

1.不算是网络阻塞，应该说是路由器UDP的压力过大，端口阻塞
2.是的，一旦udp端口被占用资源太大，DNS解析就不能较快解析出IP，所以就会出现网页过慢的情况
我再说下，这种情况只会出现在大型局域网内，小型的局域网一般流量很小，路由器根本没压力

显示全部楼层 · 发表于 2013-3-23 16:08:31

很早以前就发现这个问题了，只要一开P2P下载之类的，延迟超高，开个网页都很卡还会打开失败。关闭部分UDP端口，再配合cfosspeed，5个人共用流畅了很多。Upnp可以视情况关闭。

显示全部楼层 · 发表于 2013-3-23 16:12:10

owl144 发表于 2013-3-23 16:08
很早以前就发现这个问题了，只要一开P2P下载之类的，延迟超高，开个网页都很卡还会打开失败。关闭部分UDP端 ...

5人局域网应该不会出现这个情况吧，除非你路由器比较老了，并且带宽比较大。。。还有你端口封得太广了，这样dns解析需要多次寻找端口吧（用时长点），广域网IP可以不用写的，默认全网使用

显示全部楼层 · 发表于 2013-3-23 16:28:26

正常用没问题，所以一直就这样了。

显示全部楼层 · 发表于 2014-3-25 22:22:01

太棒了，终于有救了再也不怕室友看pptv了

显示全部楼层 · 发表于 2014-3-27 09:35:07

写的很好首席匪浅

显示全部楼层 · 发表于 2014-3-27 13:12:14

单台电脑屏蔽端口怎么弄？

[资料库] 优化大型局域网之一 — 封闭UDP端口

本帖子中包含更多资源

评分

本帖子中包含更多资源