有种听不懂的感觉，是只有 lan1 口行 lan2 lan3 lan4 正常？还是所有 lan 口都不正常。
1 重装 win7 只信 msdn vol 版一步步安装，而不是 ghost 版。曾经遇到一台 hp 康柏笔记本有花屏现象，人家的金牌维护的建议竟然是重装正版系统。。。
用驱动人生在线更新驱动
2 给路由器洗脑，包括更新固件，更新完以后 web 界面做恢复出厂设置重新配置。
3 能 ping 通说明 nslookup qq.com 相应的 dns 查询过程也是正常的。
4 找到路由器里有关 mtu 的设置它应该是 1454 不行就改动成 1492
5 开启 asus 的 telnet，追加一句 iptables 解决 mtu 问题，
iptables -t mangle -I FORWARD -o ppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

先 ifconfig，tomato 的 ppoe 应该不叫 pppoe-wan

通常就能解决 baidu 亚马逊，所有都不行还从来没遇到过。

用上面的脚本获得非法手机 mac 以后，剩下的就是网关 blcok 掉，只是这种做法会导致手机依然连接在 AP 上，只是不能上外网而己。

root@ww:/da# cat ipset.sh
#!/bin/sh
iptables -F forwarding_rule
ipset destroy block_mac
ipset create block_mac hash:mac
for i in `cat /da/blockmac.lst`;do ipset add block_mac $i;done
#ipset list block_mac
ipset destroy block_ip
ipset create block_ip hash:ip
for i in `cat /da/blockip.lst`;do ipset add block_ip $i;done
iptables -I forwarding_rule -m set --match-set block_mac src -o pppoe-wan -j REJECT
iptables -I forwarding_rule -m set --match-set block_ip src -o pppoe-wan -j REJECT

白写这么多。。。

让你们看看离 AP 1 米距离，进入黑屏手机的信号强度。如果你无法确定其它 5 个无线设备的信号强度，网络随时卡非常正常，无线弱信号问题它是真实的存在，这也是真正的游戏铁杆玩家都用有线的吧。50mbps 带宽很宽吗。在这个 p2p 年代根本不算什么，实际的上行多少才是关键。

08/10/2017 10:07:00 kickmac_90:c7:d8:a3:f4:14 signal_96
08/10/2017 10:08:00 kickmac_90:c7:d8:a3:f4:14 signal_94
08/10/2017 10:09:00 kickmac_90:c7:d8:a3:f4:14 signal_96
08/10/2017 10:10:00 kickmac_90:c7:d8:a3:f4:14 signal_94
08/10/2017 10:11:00 kickmac_90:c7:d8:a3:f4:14 signal_92
08/10/2017 10:12:00 kickmac_90:c7:d8:a3:f4:14 signal_98
08/10/2017 10:13:00 kickmac_90:c7:d8:a3:f4:14 signal_94
08/10/2017 10:25:00 kickmac_a0:3b:e3:9a:f6:bd signal_90
08/10/2017 10:26:00 kickmac_a0:3b:e3:9a:f6:bd signal_90
08/10/2017 10:27:00 kickmac_a0:3b:e3:9a:f6:bd signal_82
08/10/2017 10:33:00 kickmac_a0:86:c6:7a:1b:b6 signal_94
08/10/2017 10:37:00 kickmac_a0:3b:e3:9a:f6:bd signal_100
08/10/2017 10:40:00 kickmac_54:ea:a8:5f:08:72 signal_88
08/10/2017 11:11:00 kickmac_e4:90:7e:06:8c:71 signal_92

对于私人手机从来是宜疏不宜堵,不然找麻烦的特别多，老板要用微信沟通呢，什么没有无线网，要用自己流量，我还是辞职吧。。。员工总是有很伟大的理由。。。

减少对无线 AP 的压力，只能是让 AP 接入一定量 30 左右的高信号强度的客户端。即便你做了 radius 虽然不能通过认证上网，它们依然连接在 AP 上，这个我没仔细考证，当时也是因为公司设备太多，最后 mac 过滤全部做在核心交换机上，虽然手机是不能上网，但是它们依然连接在 AP 上获得的是 169.ip 。。。等于没解决。。。

如果你有 openwrt 之类的 linux 设备，类似问题根本就不是问题。linux 的 shell 编程逻辑处理，是其它所谓的企业级路由根本无法比的。

1 你的主路由要能处理 QOS，这才是整个网络拥塞的关键部分
2 对 ip 进行划分，它应该包含公司客户端 ip 段(static dhcp)，公司网络设备 ip 段，用于 dhcp 分配的 ip 段
3 用脚本进行弱信号踼除。
4 对非法的手机 mac 进行识别处理
5 通过 curl 或者 sshpass 进行远程登录重启 AP，每天来一次


===
1 我们公司主路由 49 块钱的优酷路由宝刷 lede，8mbps 实施了动态 QOS。
2 外围 8 台 AP，其实都是非常普通的家用级别的 AP,平时 80+数量有的。
3 ERP 系统专用的 AP，做了 mac 限制，只稍许 4 台笔记本连接。其它的 AP 能上弱信号踢除的全部实施了
4 每天在 openwrt 通过 curl 或者 sshpass 进行远程登录 ap，控制 ap 重启。

===远程登录重启 AP
#curl -D -s --header "Referer: http://192.168.188.99/userRpm/SysRebootRpm.htm" -u "admin:password" "http://192.168.188.99/userRpm/SysRebootRpm.htm?Reboot=Reboot"
curl -u admin:password -d onclick="confirmreboot();" "http://192.168.1.110:8080/goform/rebootsystem"
sshpass -p password ssh -y -p 22 [email protected] reboot


===过滤手机 mac，可以在 ap 里做 mac 过滤，可以在主路由做 ipset 禁止连外网
#!/bin/sh
cd /mnt/sda1/da
xcl=/mnt/sda1/da/w.tmp
_f=/mnt/sda1/da/b.tmp; #>$_f

#if [ ! -f $xcl ]; then
wmac="C8:AA:21:CB:C5:37 F4:F1:5A:EB:9A:00 50:EA:D6:2E:CA:AA 20:02:AF:BA:60:43 90:18:7C:45:7A:54 18:9E:FC:7F:CA:F2 6C:3E:6D:25:5C:70 38:48:4C:70:4D:50 98:D6:BB:48:A9:E0 68:96:7B:EA:29:C0 4C:8D:79:96:06:E9 98:03:D8:BE:0C:69 1C:B0:94:D1:01:2C E8:99:C4:E7:C9:D9 F8:1E:DF:8F:A5:04 38:AA:3C:EC:74:3D 38:BC:1A:00:08:53 60:FA:CD:77:22:CE D8:B3:77:32:73:B4 94:94:26:A6:E1:89 04:46:65:E5:57:5B 74:E2:F5:79:30:5A 98:D6:F7:61:78:9D F4:F1:5A:E2:53:EE 60:21:C0:92:C6:2F 98:D6:BB:39:97:1E"
echo $wmac |tr ' ' '\n'>$xcl #;fi

arp|grep ndroid>t.tmp
arp|grep iPod>>t.tmp
arp|grep Phone>>t.tmp
arp|grep iPad>>t.tmp
arp|grep BLACKBERRY>>t.tmp
cat t.tmp|cut -d ' ' -f4>>b.tmp

while read mac;do sed -i -e "/^${mac}$/d" $_f;done < $xcl
cat b.tmp|grep -Eo ..\(\:..\){5}|awk '!i[$1]++' >>ptmp.tmp #过滤 mac 去重复
cat ptmp.tmp|awk '!i[$1]++'>pblack.lst #过滤 mac 去重复
cat pblack.lst | tr A-Z a-z



注意 mac 格式为大写字母不然匹配有问题
sed 's/xxx/yyy/i' filename
注意那个'i'就是大小写不敏感

用无线网络打游戏，虽然我有绝对的能力将无线的延迟控制得和有线延迟一样低，但是依然无法受制无线弱信号短板，每次老爸回来，人在一楼，游戏马上开始卡顿。
360 路由器，ni360 吗，虽然很便宜，broadcom5358 刷 tomato 也是神器。
1 电信网络默认会对 lol 进行 qos，即便以前全速优酷挖矿全速上传 lol 延迟也很低，其它游戏未知。
2 在非对称线路，有针对性对不同流量进行分组限制，才可能在有线网络造成高优先级游戏数据包<19ms，p2p>560ms。在一个流量不受控制的网络延迟经常 19-560ms 变化非常正常，无线因为受制无线弱信号原理导致流量呑吐量时刻在变化，延迟波动比有线更明显。
3 结论变成，不会 qos 买什么路由都白买。。。只能通过升级带宽将当前带宽控制在 80%以下的总带宽，才体会不到延迟波动，但是再宽的带宽不受 qos 分组控制，总是有可能出现极限情况。

如果是 ni360 去刷 tomato 搜一下教程 我的 tomato 原版 qos 设定。目前绝大多数的 asus 路由 qos 就翻版于 tomato，也仅只是个有比没有好而已。

Windows 系统默认右击 无线连接，应该都会启动电源节能选项，去钩。
插电时平衡模式应该 无线就工作在高性能模式了。

很多东西，没一定知识累积，普通用户还是花钱省事。
mesh 这么贵，老外早有 radiusdesk 项目。免费。

估计那 htpc 的网卡信号强度也不怎么样，手机随时黑屏-80dbm 以上，信号发送 /接收一差什么神器都无能为力。什么定时踢无线弱信号脚本，没用，没多 ap 覆盖的环境永远连在这 ap 上。好处就是手机进入-80dbm 踢一下重连又-50dbm 了，对改善流量呑吐，高延迟也稍稍有改善。无线弱信号问题除了禁止信号差得客户端连接根本没其它解决方法。也就是那 htpc 的无线网卡只能专门连中继路由别想着连一堆的客户端。
平时很少用无线中继模式，因为据说有带宽打对折情况。客户端模式用得多，接上 14dbi 平板天线用 dir 600 b1 这么弱得 ralink 3052f 刷 ddwrt 蹭对面 40m 大楼的网也是轻轻松松。顶多再接个 ap。但是 ddwrt 是个只有自己试了才清楚哪个版本号正常。像 dir600 14xxx 客户端就一直正常，15xxx 客户端根本不能用。每次只能跨大版本号去测试，才能搞清哪个是适合的。好多年不用 ddwrt 了，习惯用 mtk，openwrt 也不错。
tplink wa801 刷 ddwrt 用来中继曾经试过，首先信号好的时候非常好，信号差得时候那还能怎么办，解决可视 /信号发送强度。
不能解决信号问题，什么神器都没用。而且 linux 可以运行 shell 判断掉线重启接口还不是小菜一碟。
最后一次给公司买的是一个乐光的 6dbi 网桥，都 2017 年了花 180 块买个 ralink 3052f 真浪费钱。但是挺稳定的。
家里玩，还是立足现有设备，解决信号强度，linux 这么强大的系统，其它商业路由直接无视。

搬瓦工其实速度很 NB，至少国外的 vps 之间传输都是 40mb/s，可是为什么到了中国电信就被 QOS 的。vultr 很快吗，我第一次用它的时候怎么这么慢连搬瓦工都不如，后来装上锐速就 ok 了。搬瓦工在用 kcptun 时，浙江电信的 qos 是无能为力的，虽然不知道真的是 kcptun NB，还是 qos 识别不了 kcptun 协议。
搬瓦工要是没有这些神奇的 kcptun bbr 之类的东西，用着用着也是随时没速度的，讲不好有时候挂 socks5 代理大晚上全速 2.6mb/s 下载，有时候电信的动态 qos 基本上不用 5 分钟就生效了。。。

目前在公司用 49 块的优酷路由宝刷 lede，8mbps 带宽带 40 台 pc,手机应该至少有 60+吧。
目前也只有 lede 的 sqm 声称有 nb 的带宽控制能力，但是它家的脚本以前就测试过无效，新的所谓 cake 又不知道是什么神器，sqm 一个传得神乎其神的 qos，却用得最低级的每包标记。
普通办公 pc 也就 80 不到的并发。不管多大的带宽，如何阻止 1%的用户占用 99%以上的带宽是关键。吹一下牛用 shell 定时扫描网络，通过 connbytes 模块 1s 级获得所有 ip 的定时流量，然后再动态进行流量分组，无视任何 p2p 的存在，每个 ip 都有机会获得 100%的带宽。
市面上除了 ros 的 pcq 不知道谁家可以实现动态限速。基于 prio 的优先级控制，如果不能仰制带宽的 99%占满，到时候网络也是拥塞得一踏糊涂。

一个人不工作 3 年，很难对公司有爱，懂得什么叫公司利益。

为什么说“做多错多，不做不错”？
你好！不做事情当然不会犯错误了，只要做事情，就会有犯错误的可能，自然做的越多，犯错误的可能性也越大。不过，我们不能因为为了避免犯错误而不去工作，同时，大家也要对所出现的错误公正地对待，只要做到了奖勤罚懒、按功行赏，自然就会促进大家去努力工作。

中国特色的一种

庸谈,不要说是在这个日新月异的时代,就是倒退多少年也是庸谈,持这种态度的人要不得,
我第一个工作单位有四句企业标语:
诚实是金 完美有价 批评有功 吃亏是福
不要只看表面文字,要在实际生活工作中体会到那才是自己的财富,

我宁可错误也不静止不前

事实如此，还应多做，最后你是赢家

1688.com 搜搜，智博通 cpe 103 带 5 号电池，需要自己买 4g 网卡，玩不转没买。。。

那条公式很好的说明了延迟是可以计算的，它跟总带宽 /跟剩余带宽的关系。一旦做了 qos,也就是延迟是跟当前水管的流量饱合程度在 80%上下有关系。
所以 qos 通常用来解决游戏的延迟和 p2p 的流量，分根小水管给目的 ip 144.144.144.144 只要保证实际通过流量低于 80%就可以获得低延迟。另外一根大水管给 p2p100%通过。在光纤两种造成的延迟可以达到 20ms 以下跟接近 600ms 的效果。所以这种问题基本是在自己本地网络通过 qos 策略就可以控制的，出了本地，人家的网络拥堵也没办法了。

hashlimt 跟 limit 一样，一个比较平和的对发包进行控制以达到流量抑制。openwrt sqm 描述的一些理论不怎么看，现在已经可以做到 95%以上的流量通过保证延迟和流量的平衡。linux 的 qos 效果还是非常不错的。

可以搜一下 tc hfsc，网上有一篇文档说明延迟，带宽，流量饱和程度是如何计算的。
8*1500 byte(包大小) / 512000 bit/s(剩余.带宽) = 23.4375ms
htb 算法，实际上光纤当达到总带宽 80-90%左右时延迟不会有明显波动。所以这里有个叫 80%的分界点。而我们平时会计对不同的流量进行 class 分类处理，以针对不同流量做优先级控制通常解决流量和延迟，这就像一根大水管接上不同粗细的小水管，只要低于 80%的通过量就可以达到很好延迟。而大于 80%的通过量换来的是延迟的增加。

可以搜一下 tc hfsc，网上有一篇文档说明延迟，带宽，流量饱和程度是如何计算的。
实际上光纤当达到总带宽 80-90%左右时延迟不会有明显波动。所以这里有个叫 80%的分界点。而我们平时会计对不同的流量进行 class 分类处理，以针对不同流量做优先级控制通常，这就像一根大水管

试试 stunnel ？
stunnel 的连接过程有三张证书
至少一张证书对链路进行加密
服务器对客户端进行 pki 认证识别身份 /DH
客户端对服务器证书进行 ca 签识别。还有各种对证书进行 checkhost 相对 ss 的 psk 认证过程。实现起来很安全，特别是客户端对服务器身份进行识别，以前部分时间段经常出错，但是去掉这个配置连接就通了，是不是代表就被时间人了。stunnel 目前觉得是最安全了。

ghost 并不是万能的，在 mbr 分区上使用 15 版本在 sata 和 ssd 上互拷还是非常方便的。
但是 gpt 好像恢复就不成功了。也许是不了解 uefi 的启动修改。后来都是用国产的 diskgen 进行备份还有一款 ati 家的吧。
一般 mbr 分区，pe 启动还是非常方便的。

员工就这样说起来什么网络不好，影响工作效率，等到行为管理设备上调日志我敢说 90%以上的流量都在不务正业。
以前部门里也有人用网络做淘宝，领导不是傻的要我 24 小时屏蔽相应网站。手里只有一个 ddwrt 设备。终于造出了一个 shell 在上班时间屏蔽域名封锁 ip。中午休息放开。这样领导还不满意因为不听他话 24 小时屏蔽那个月扣了 200。
那些员工也不是什么好人，屏蔽了淘宝人家做不了生意赚不了钱，还不干上啊。。。
然后就开始每天上班时间屏蔽，中午一小时放开。最终还是人际关系，还是得偷偷得为有些人放开。
关系不好的员工谁怕谁。领导的主意你有本事找领导放行去。这年头流量这么便宜，你们就不能用自己的流量吗，谁也管不到谁。