双线接入依然连接数不够，有什么办法解决吗？

今天在 TP 工程师的指导下改了设置，暂时良好，估计要观察几天看看，同时已经把占用连接数过多的设备揪出来了几个。

路由器设置：
1. 负载均衡改为流量均衡，设置权重是宽带和专线是 8:2 。
2. 连接数限制了 500 。
3. 策略路由把财务人员的走专线出口。（ TP 那边说以前在 NATP 那里改是不对的）
4. 行为管控那里禁止了迅雷、百度网盘、还有几个视频网站。（下班后以及周末等非工作时间放开限制）

同时找行政颁布了几条规定：

1. 工作时间不允许长时间占用大量宽带资源。
2. 临时需要的大量下载的找网管走其他线路解决。
3. 完善固定 IP 分配，尽量做到一设备一 IP 并登记。（后续可能会考虑关闭有线连接所属 VLAN 的 DHCP 功能）
4. 手机这些 Wi-Fi 设备关闭 “随机 MAC 地址” 功能，以防止反复连接后耗光地址。

总之，感谢各位大佬的帮助，让我学习了很多，受益匪浅～

@zackxu233 我这也是，每天 9:00~9:30 就会连不上。重启光猫能缓解，电信说我跑 pcdn 业务要封我。我说没跑。电信说那就每天重启光猫。我用定时开关 8:50 重启。但是有时候 9 点多还是不行。
过了 9：30 ，一整天都没问题。人还是这么多人。看片还是这么多人看片。

@zktz 啊这，那总不能天天重启光猫吧～上班时间前还好说，开始上班后就不能随便重启了。

开启 IPv6 、DNS 双协议解析、只开启 DHCPv6 有状态、分 ULA 地址、出口用前缀转换、路由通告设置 IPv6 优先，原来行为策略该怎么做还是怎么做。说服你的领导，介绍该方案的优点：成本低、响应快、不影响用户正常使用。 方案做成了功劳本上可以记一笔，升职加薪不是梦！

我有个想法，没有公网 ip 的那条宽带修改 nat 规则，限制 nat 后端口数量不超 2000 个，因为运营商是 nat1 ，而自己的网关一般是 nat4 ，这样自己网关这边可以复用端口到运营商这边也就不会超连接数了。

感觉几个方向吧供参考
1. 负载均衡策略
出口切换过于频繁可能访问某个站点短时间内 一会 a 出口 一会 b 出口 ，我们专业的 nat 设备出过类似的问题 流量 40Gbps
教育网+联通，来回切换，那酸爽，但是 nat 设备日志显示正常，通过搞了个测试站才发现的
调整了负载策略解决的

2. 部署透明代理
其实也是终端数太多了没办法的办法，就是多一层 nat ，

3. 会话快速老化

4. 专线问题
这种不对等的专线，只要不是静态 ip ，城域网接入，但凡通过了 bras 接入(收发器，pon 或者 otn 等等) 就会有这种问题
要么加钱，要么加线路，

比如 routeros 的多线 pcc 负载(一定配合源进源出，这个 ruijie 的路由器自带 就是那个 nbr 路由器效果还行)，或者多 isp 多线，拉个 bgp 的路由表导进 routeros

5. 设备层面
说实话 TP 还是不行，ruijie 都比它强很多，毕竟好歹也是正经的数通设备厂家

6. 最后 dns
不论以上是否成立，可以考虑下部署内部的 dns 服务器 不论是缓存也好，还是控制特定域名解析，或者流量调度，dns 配合出口才能最大化实现目的

@starinmars 主要是这几个方面：
1. IPv6 相对于全球地址了，不安全，尤其是没有单独防火墙的情况下（🤷说了又不买）。
2. 不便于静态分配，也不利于管理，最重要的是记不住这个地址。
3. 移动端还好，PC 端目前还是处于不太能用的水平。

@Xiaoxqian 用流量均衡的话，经常变化出口问题确实蛋疼，尤其是财务和行政，他们用的那些网站发现你出口 IP 返回时不一样就会拒绝连接了。

设备目前可能真的到瓶颈了，华为贵上天还要付费解锁硬件功能，华三的之前买过一套还不如现在的 TP ，ikuai 就算了，估计只剩 Mikrotik 或者锐捷可以看看了。

如果使用 openwrt 且使用的 iptables 而不是 nftables ，取消区域间 MASQUERADE ，然后配置如下防火墙规则，可以限制 nat 后端口，从而防止运营商侧连接数不够

config nat
option name 'nat_tccpudp'
list proto 'tcp'
list proto 'udp'
option src 'wan'
option target 'MASQUERADE'
option extra '! -s 100.64.0.0/10 --to-ports 61000-62900 '
option family 'ipv4'

config nat
option name 'nat_icmp'
list proto 'icmp'
option src 'wan'
option target 'MASQUERADE'
option family 'ipv4'
option extra '! -s 100.64.0.0/10'

@zackxu233 换 mikrotik(软路由也行)或者锐捷吧，如果不考虑换设备可以考虑关闭负载均衡，使用 PBR(策略路由方式) 让 d-nat 服务(如有) 财务能重要部门或者 IP 走专线，其他的走非专线；

首先先扔掉垃圾 tplink

@Xiaoxqian 嗯正在联系锐捷和华三，看看让他们给套报价再去申请看看。

@Xiaoxqian 另外你说的这种分线路的方式其实有试过，单专线的 40M 上行，或者非专线的连接数，都不足以支撑正常上网，得双线负载均衡才能维持基本上网。😂

以前在租房的时候，房东 500 兆电信给一栋楼用。接触的时候也是卡的没法玩。后来拿到管理员权限，监控了三四天分析租户上网时间以及各个应用流量和协议流量。调整了几次 qos 。又监控了几天，没什么问题。之前无法打游戏，调整后玩游戏的延迟比外面高了十几毫秒，但能用了。一个五层楼，有一百多人吧！

@zackxu233 不应该啊，我底下有个 300 人的站点，两条电信的 PON 线路(公网)，100/1000M (上/下行) 完全没问题，30M 的专线仅作对外映射，session 加起来不超过 2w ，你这可能应该负载或者是就是设备的毛病了。

@yc8332 老板方便说一下要怎么配置 ikuai 吗？目前只能用旁挂的方式接进去但似乎看不到其他设备的流量。