我正在尝试使用 Linux (3.2) tc、HTB 和 PRIO 调整流出我的 DSL 链接（已验证 1 mbit 上传）的流量。我的 Linux 机器通过千兆以太网链路连接到 ADSL 调制解调器。我想使用 HTB 限制上传速率，以便我的数据包在 Linux 机器而不是调制解调器处排队，然后使用 PRIO 将数据包放入优先级带。

所以，我这样做了：

tc qdisc add dev dsl root handle 1: htb default 1
tc class add dev dsl parent 1: classid 1:1 htb rate 950kbit
tc qdisc add dev dsl parent 1:1 handle 2: prio bands 6
tc qdisc add dev dsl parent 2:1 bfifo
tc qdisc add dev dsl parent 2:2 bfifo
tc qdisc add dev dsl parent 2:3 bfifo
tc qdisc add dev dsl parent 2:4 bfifo
tc qdisc add dev dsl parent 2:5 bfifo
tc qdisc add dev dsl parent 2:6 bfifo

问题是，一旦我这样做了，我的上传链接就变慢了。我得到大约。25 kbit/s，比我应该得到的速度（950 kbit/s）慢38 倍，即使链路未被使用。

有趣的是，如果我删除 PRIO qdisc 但保留 HTB qdisc，那么吞吐量会上升到大约。550 kbit/s，更好但仍然不是我应该得到的。同样，该链接未使用，因此优先级不会考虑此行为。

知道我在做什么有什么问题吗？多年来，我一直在使用完全相同的命令将以太网链路塑造成 50 mbit/s，没有任何问题，所以我真的不知道为什么它在这种情况下不起作用。

附加信息：

# tc -s -d qdisc ls dev dsl
qdisc htb 1: root refcnt 2 r2q 10 default 1 direct_packets_stat 0 ver 3.17
 Sent 447262 bytes 1168 pkt (dropped 90, overlimits 38 requeues 0)
 backlog 0b 0p requeues 0
qdisc prio 2: parent 1:1 bands 6 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
 Sent 447262 bytes 1168 pkt (dropped 90, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8043: parent 2:1 limit 1514b
 Sent 84138 bytes 928 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8044: parent 2:2 limit 1514b
 Sent 363124 bytes 240 pkt (dropped 90, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8045: parent 2:3 limit 1514b
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8046: parent 2:4 limit 1514b
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8047: parent 2:5 limit 1514b
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
qdisc bfifo 8048: parent 2:6 limit 1514b
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0

# tc -s -d class show dev dsl
class htb 1:1 root leaf 2: prio 0 quantum 11875 rate 950000bit ceil 950000bit burst 1599b/8 mpu 0b overhead 0b cburst 1599b/8 mpu 0b overhead 0b level 0
 Sent 478804 bytes 1316 pkt (dropped 90, overlimits 0 requeues 0)
 rate 42232bit 17pps backlog 0b 0p requeues 0
 lended: 1316 borrowed: 0 giants: 0
 tokens: 195781 ctokens: 195781
class prio 2:1 parent 2: leaf 8043:
 Sent 97560 bytes 1064 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
class prio 2:2 parent 2: leaf 8044:
 Sent 381244 bytes 252 pkt (dropped 90, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
class prio 2:3 parent 2: leaf 8045:
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
class prio 2:4 parent 2: leaf 8046:
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
class prio 2:5 parent 2: leaf 8047:
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0
class prio 2:6 parent 2: leaf 8048:
 Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
 backlog 0b 0p requeues 0

我正在尝试获取La Banque Postale 的网站。

$ wget https://www.labanquepostale.fr/
--2009-10-08 17:25:03--  https://www.labanquepostale.fr/
Resolving www.labanquepostale.fr... 81.252.54.6
Connecting to www.labanquepostale.fr|81.252.54.6|:443... connected.
ERROR: cannot verify www.labanquepostale.fr's certificate, issued by `/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA':
  certificate signature failure
To connect to www.labanquepostale.fr insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

我正在使用 Debian Sid。在另一台运行 Debian Sid 且软件版本相同的机器上，该命令运行良好。ca-certificates安装在两台机器上（我尝试删除它并重新安装它，以防证书以某种方式损坏，没有运气）。

在同一台机器上在 Iceweasel 中打开https://www.labanquepostale.fr/效果很好。

附加信息：

$ openssl s_client -CApath /etc/ssl/certs -connect www.labanquepostale.fr:443
CONNECTED(00000003)
depth=3 /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
verify error:num=7:certificate signature failure
verify return:0
---
Certificate chain
 0 s:/1.3.6.1.4.1.311.60.2.1.3=FR/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=421100645/C=FR/postalCode=75006/ST=PARIS/L=PARIS/streetAddress=115 RUE DE SEVRES/O=LA BANQUE POSTALE/OU=DISF2/CN=www.labanquepostale.fr
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
 3 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
<base64-encoded certificate removed for lisibility>
-----END CERTIFICATE-----
subject=/1.3.6.1.4.1.311.60.2.1.3=FR/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=421100645    /C=FR/postalCode=75006/ST=PARIS/L=PARIS/streetAddress=115 RUE DE SEVRES/O=LA BANQUE POSTALE/OU=DISF2/CN=www.labanquepostale.fr
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
---
No client certificate CA names sent
---
SSL handshake has read 5101 bytes and written 300 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-MD5
    Session-ID: 0009008CB3ADA9A37CE45B464E989C82AD0793D7585858584ACE056700035363
    Session-ID-ctx: 
    Master-Key: 1FB7DAD98B6738BEA7A3B8791B9645334F9C760837D95E3403C108058A3A477683AE74D603152F6E4BFEB6ACA48BC2C3
    Key-Arg   : None
    Start Time: 1255015783
    Timeout   : 300 (sec)
    Verify return code: 7 (certificate signature failure)
---

知道我为什么得到certificate signature failure吗？好像这还不够奇怪，复制粘贴输出中提到的“服务器证书”并openssl verify在其上运行返回OK......

期望的行为

当应用程序向全局广播 IP 地址发送数据包时255.255.255.255，我希望将数据包发送到ff:ff:ff:ff:ff:ff所有接口上的以太网全局广播地址 ()。

在 Linux 和可能的其他操作系统上，这似乎也有效。Windows XP 和 Windows 7 对此表现出不同的行为，这两种行为都不适合我的情况。

Windows XP 行为

数据包将正确发送到第一个网络接口（接口顺序在“网络连接/高级/高级设置”中指定）。它也将被发送到其他接口。

到目前为止一切都是正确的。问题是，当发送到其他接口时，广播包的源地址是第一个接口的IP地址。例如，想象一下这个网络配置（顺序很重要）：

• 适配器 1：IP 地址192.168.0.1
• 适配器 2：IP 地址10.0.0.1
• 适配器 3：IP 地址172.17.0.1

现在，如果我发送一个广播数据包，将发送以下数据包（带有源和目标 IP 地址）：

• 在适配器 1 上：192.168.0.1=>255.255.255.255

• 在适配器 2 上：192.168.0.1=>255.255.255.255

• 在适配器 3 上：192.168.0.1=>255.255.255.255

  实际上，使用广播数据包的应用程序在适配器 1 以外的任何接口上都无法工作。在我看来，这是 Windows XP 的 TCP/IP 堆栈中的一个明显错误。

Windows 7 行为

修改网络接口顺序似乎对 Windows 7 没有任何影响。相反，广播似乎是由 IP 路由表控制的。

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0   10.202.254.254       10.202.1.2    286
          0.0.0.0          0.0.0.0      192.168.0.1      192.168.0.3     10
       10.202.0.0      255.255.0.0         On-link        10.202.1.2    286
       10.202.1.2  255.255.255.255         On-link        10.202.1.2    286
   10.202.255.255  255.255.255.255         On-link        10.202.1.2    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.168.0.3    266
      192.168.0.3  255.255.255.255         On-link       192.168.0.3    266
    192.168.0.255  255.255.255.255         On-link       192.168.0.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.0.3    266
        224.0.0.0        240.0.0.0         On-link        10.202.1.2    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.0.3    266
  255.255.255.255  255.255.255.255         On-link        10.202.1.2    286
===========================================================================

看255.255.255.255路线？是的，它们控制广播数据包。在这种情况下，广播数据包将通过 发送，192.168.0.3因为它的度量较低……但不会发送到其他接口。

您可以非常轻松地更改发送全局广播数据包的接口（只需添加255.255.255.255一个低度量的持久路由）。但是无论你怎么努力，广播数据包只会在一个接口上发送，并不是所有的接口都像我希望的那样。

结论

• Windows 7 只向一个接口发送广播数据包。你可以选择哪一个，但这不是重点。
• Windows XP 将广播数据包发送到所有接口，但它只将它们按预期发送到一个接口，这实际上相当于 Windows 7 的行为。

目标

我想一劳永逸地更改 Windows（最好是 Windows 7）中的这种全球 IP 广播支持。当然，更好的方法是进行某种受支持的配置更改（注册表黑客或类似），但我愿意接受所有建议。

有任何想法吗？

KB299540解释了 Windows XP 如何自动将指标分配给 IP 路由：

下表概述了用于为绑定到各种速度的网络接口的路由分配指标的标准。

Greater than 200 Mb: 10
Greater than 20 Mb, and less than or equal to 200 Mb: 20
Greater than 4 Mb, and less than or equal to 20 Mb: 30
Greater than 500 kilobits (Kb), and less than or equal to 4 Mb: 40
Less than or equal to 500 Kb: 50

但是，他们似乎在 Windows 7 中更改了算法，因为我的路由表如下所示：

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1      192.168.0.3     10
          0.0.0.0          0.0.0.0   10.202.254.254       10.202.1.2    286
       10.202.0.0      255.255.0.0         On-link        10.202.1.2    286
       10.202.1.2  255.255.255.255         On-link        10.202.1.2    286
   10.202.255.255  255.255.255.255         On-link        10.202.1.2    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.168.0.3    266
      192.168.0.3  255.255.255.255         On-link       192.168.0.3    266
    192.168.0.255  255.255.255.255         On-link       192.168.0.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.0.3    266
        224.0.0.0        240.0.0.0         On-link        10.202.1.2    286
  255.255.255.255  255.255.255.255         On-link        10.202.1.2     40
===========================================================================

唯一“正确”的指标是第一个指标（千兆连接 = 10）。但是，使用千兆连接的其他路由的 metric = 266，我的 VPN 的 metric = 286，环回是 306（？！）。

知道发生了什么吗？

在 Linux 和其他系统上，有一个名为 arping 的实用程序，可用于发送 ARP 请求（“ping”）并显示答案，很像“ping”实用程序，但使用 ARP 而不是 ICMP。

有没有办法在 Windows 上做同样的事情？（我使用的是 Windows 7）

截图几乎说明了一切：

consec http://uppix.net/7/3/4/eeb1c6e949b90932ca3bd8bfbda47.png

我不明白。如果我在 MMC 管理单元中创建规则，它们不会出现在 netsh 中，如果我在 netsh 中创建规则，它们不会出现在 MMC 管理单元中。我在这里想念什么？

（注意：这是 Windows 7）

我有一台运行 Windows 7 Pro RTM 的计算机。这台计算机有两个网络连接：

• 连接到 Internet 的 Wi-Fi 连接（通过家庭路由器）工作得很好。
• OpenVPN 虚拟网络连接。更准确地说，这是一个虚拟以太网连接，其行为与物理以太网有线连接完全相同。

我的问题是“网络和共享中心”显示 OpenVPN 连接的“未知网络”。经过一些研究，我发现逻辑网络（域外）由连接的默认网关的 MAC 地址标识。问题是，OpenVPN 连接没有默认网关：它是一个专用网络，所以我不需要...

因此，“未知网络”总是被认为是公共的，所以防火墙总是处于“公共模式”，这是我不想要的。另外，我不能重命名“未知连接”或任何东西（这是有道理的），所以它有点难看。

我的目标是为具有私有配置文件的 OpenVPN 连接定义适当的逻辑网络。我知道一些解决方法（禁用防火墙，修改安全策略以使所有未知网络“私有”），但它们仍然是解决方法。我只想让我的客户连接到 VPN，而无需禁用他们的防火墙设置，无需更改具有潜在副作用的全局配置（“安全策略”解决方案），也无需查看网络中丑陋的“未知连接”和共享中心。

有什么办法可以做到这一点吗？我试图检查注册表中发生了什么（HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList 很有趣），但我仍然没有找到一种方法来“强制”将 OpenVPN 连接分配给一个逻辑网络。

任何帮助将不胜感激。

超级用户出现了一个相关问题：https ://superuser.com/questions/37355/windows-7-cant-identify-network/37422