爱快就像用 tplink 一样，没有 cli 环境看官方的 qos 教程，从文档描述上根本分不清 a b 方案的差别，也根本不可能做到 diy 以达到性能上的提高。
为了学习 routeros 专门买了个 rb2011 。 routeros 有 cli 环境，有很多的 wiki 文档支持，这就导致不同人员配置的 routeros 有很大的性能差异。
最后这个 rb2011 还是吃灰了。相对原生 linux 系统， routeros 在 qos 这块非常弱。 htb ， openwrt 有 N 种写法，完整的 tc+iptables ， ros 只有包到链接过程。有一定经验的用户 ros wiki 上的实例可以轻易转换到 openwrt 下面使用。
最让我吃不消的是 ros 的脚本编程，用 shell 写的很简单的东西，到了 ros 下面怎么变得那么亢长复杂。
如果不打算学习 linux 下的网络配置，感觉买来最后还是吃灰，其实 openwrt 非常好，非常高效，只是网上很多文档非常简单需要自己不断去尝试配置， openwrt 有 mwan3,多线方面就没什么经验，建议还是使用 openwrt 。。。

浙江电信很好，浙江联通很烂。 stunnel 连接过程没完没了的被插入错误包，频繁的网页异常，反正最近一周特别明显，联通真烂。

没什么用都是不可以更换机房的。而且这种固定 ip ，对方根本不给你换 ip 。有需求的 20G 硬盘的还行，至少可以在线编译 openwrt 用。

一分价格一分货，硬盘大了，似乎我这 20G 的网络不如 9.9 的。或者总是一个早上网络好，另外一个晚上网络好。除非你有硬盘容量需求，我总觉得一分价钱一分货，确实感觉不如 9.9 的。

另外最近浙江电信访问搬瓦工确定好很多，至于浙江联通，有感觉搬瓦工似乎被墙的感觉，老是没完没了的错误包，动不动就网页没反应。。。当然也许是个别 ip ，也许都这样。。。

。。。这个去年 2015 年 10 月买的， 20g 硬盘 1g 内存足够用来编译 openwrt ，值了。

搬瓦工的主要特点是稳定，能用，但是不同 ip 间的差距还是有点大的，所以最好是能买两个进行负载。。。

最近像 9.9$的网络就比 18$的要快，表现在 18$的 ping 有掉包现象， 9.9$的通过 kcptun 可以马马虎虎看 1080p 。偶这两个都是宝了， 9.9 的可以随意换 ip ， 18$的有 20G 硬盘 1T 内存，目前的 19$只有 256M 内存了。

。。。 SS 是一种信仰，可是当年我才用 10 天 SS ，第 11 天 2015 年 1 月 1 日却因为所谓的 DNS 问题而导致 SS 客户端无法使用 1 天，怎么也无法理解 socks5 可以远程解析 DNS ，却因为所谓的 dns 问题而无法使用 1 天，所以我也看不懂人家的代码，我更疑神疑鬼不相信人家的软件。。。

在这个到处都是后门的年代，使用酷市场可以连续下 3 个不同版本的应用，使用优酷客户端可以更新个什么优酷破解版那权限要求连 google 帐户都要访问，各种破解软件带各种启发式病毒，还有什么东西值得信任。很多东西自然有它的市场存在，更多的就是变成人民币。

我相信搬瓦工的技术，这个问题它绝对不会误判。 iptables 是基本安全工具，解决起来也相当简单，屏蔽所有发往外部的邮件端口。

iptables -S OUTPUT
-P OUTPUT ACCEPT
-A OUTPUT -p tcp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -j DROP
-A OUTPUT -p udp -m multiport --dports 24,25,50,57,105,106,109,110,143,158,209,218,220,465,587 -j DROP
-A OUTPUT -p tcp -m multiport --dports 21,22,23,993,995,1109,24554,60177,60179 -j DROP
-A OUTPUT -p udp -m multiport --dports 993,995,1109,24554,60177,60179,61234 -j DROP

这个可以参考
我的 tomato 原版 QOS 设定
http://www.right.com.cn/forum/thread-102891-1-1.html
(出处: 恩山无线论坛)

不同 IP 的流量优先级，可以参考 31L 在 br0 接口进行针对 ip 的限速防止 1ip 占用 99%以上的带宽，可以针对不同 ip 实施 prio 优先级。基本原则 rate $((downlink*3/10))kbps ceil $((3072*10/10))kbps ，保证单 ip 3/10 的流量，其余的 7/10 进行互相抢夺。

至于单机又是迅雷又是看视频，未曾试过。主要是无法准确标记这两种流量，但是也许很多视频是用 80 8080 可能默认的上行 qos 就可以主动避开这两种流量，主要没有迅雷会员帐号，也没机会 100%占用流量。目前这个 qos 主要是为了实现高优先级的游戏包延迟的，

关于并发数量的抑制，可以参考 openwrt 实现。
iptables -S syn_flood
-N syn_flood
-A syn_flood -m limit --limit 3/sec --limit-burst 25 -j RETURN
-A syn_flood -j DROP
root@OpenWrt:/mnt/sda1# iptables -S INPUT
-A INPUT -i pppoe-wan -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j delegate_input

===其实如果能在上行方法准确标记 迅雷流量和视频流量的话， connmark restore 是可以把这个标记直接应用在下行流量进行准确区分的
老外的这篇文档就试图说明在上行标记 iptables -t mangle -A QOS -s 192.168.1.50 -m mark --mark 0 -j MARK --set-mark 3 ，传递到下行标记。也许少了这么关键的一句 iptables -t mangle -A PREROUTING -i pppoe-wan -j CONNMARK --restore-mark
https://wiki.archlinux.org/index.php/Advanced_traffic_control

既然按月交钱，显然很不信任对方。你这还好了，以前我直接交了 2 个月的钱，过几天 QQ 被拉黑，淘宝店消失， HOHO 。。。

养成数据备份是良好的习惯。

...自己用 wget 看有没有 302 跳转，目前 302 已经是常态。

前几日用酷市场下 apk ，连续三次出错，而且三次都是不同的应用。真不知道到底缓存错了，还是谁有权限做了坏事，更早的时候优酷的 apk 自己更新了一个叫优酷破解版的 apk 更新，那权限要求吓怕了，简直就是什么都要偷啊，真不知道是要骂优酷，还是骂其它人

现在的网络环境真很不安全，各种利益促使人做各种坏事。

....优酷路由宝点 l1 根本就没 5g ，还有一台 tp846 还什么型号联想 e54 带的 intel 无线网卡直接 10MB/s 满速。

小米不知道什么芯片的

市面常见的 mtk7620 刷 openwrt wan 100M 端口，使用笔记本上带的 intel 网卡轻松上跑满 10MB/s ，但是使用标称 150M 的 realtek 网卡再加上 HT20 的话，仅 3.5MB/s 左右。这种情况问题多数在无线网卡。

。。。我们现在的领导喜欢的一件事就是又在酒桌上干倒了某某某。
以前记得吃年夜饭时，领导说这杯白酒喝了朋友就做成了，可惜我这种傻人还是以不会喝没喝了，太不给领导面子了。

真的很多生意都是酒桌上干成的，这也是一些小老板包包里装的都是应酬用的钱。

其实最好的方法就是自己耳朵塞上，或者去锻炼累了就呼呼睡。不然你敢保证他们不玩游戏就不会唱卡拉 ok 。。。

又想做坏事又想人不知道。所有的游戏都是有特定端口的。用 cron 使用 shell 随机时间 iptables ACCEPT 又 REJECT 这就造成随机掉线效果，，，，感觉没什么用，，，还是塞上耳朵适应环境吧。

qos 没有想象中那么复杂，它可以简单到有个 ip 地址 就可以构建一条 qos 限速，所以这个特征简单到只知道 ip 地址就够了，根本不需要关注 ss 到底是看起来像 http 还是 ssl 流量，一条规则就限速完毕。甚至有各种动态流量限速。
按照 net speed 作者的描述电信线路的流量变化是由于线路太长 tcp 重发之类的问题，目前的 kcptun 就是来解决这些问题，相关描述太专业大家还是自己上作者主页看。
放到实际环境电信+gfw 到底会出现什么问题？
1 ， linode 的测速 ip ，访问一次电信就能瞬间丢来 13 个 tcp reset ，这种情况说明电信有针对特定 ip 限制。
2 ，同样将 socks5 端口应用在 tcp 53 ，敏感词就不会有 tcp reset 现象。
3 ，出国流量比较神奇下行 100kb/s 不到，上行却可以全速 300kb/s ，这个问题到底是电信造成的，还是搬瓦工造成的不得而知，显然掌握 qos 技术是可以让有限的流量应用在更多的用户，它可以带来直接的经济效益。用电信经常是全速下载过会儿就 100kb/s 左右。看起来这个动态限速大家都差不多只有 100kb/s 。
4 ，目前一些像 openvpn 之类的基本还是狂丢 tcpreset 。
5 ， udp 流量确实能带来相对 tcp 的高速感觉，像 ocserv ， softether 。但是一旦安装在 openwrt 就需要实际测试，在 mtk7620 openwrt 15.0 cc 上， ocserv 的流量远远不如 softether 快，同样经过加密的 kcptun 也远远不如不加密的，这个可能主要还是受制 mips 那可怜的 cpu 性能。

电信铁定有 qos 的存在， qos 也没有那么复杂它简单到只需要知道 ip 地址就足够了，至于现阶段的 kcptun 能用到多久还不知道，它也是目前最好的直接可以安装在 openwrt mtk7620 直接通过搬瓦工看 1080p 的。
想安全就用 stunnel ，三张基于 pki 证书验证可以有效的防止线路中间人，想看 youtube 就用 kcptun 。 ss 的存在还是因为它有移动客户端吧。

这种东西市面上 ubnt 好像是有，但不是主动禁止， openwrt 我非常确认在 broadcom,atheros,mtk 都可以用 shell 实现根据信号强度主动踢除。。。 openwrt 需要的工具应该在 hostap-utils 里，具体自己研究吧，上次笔记本挂了，硬盘里的资料都没取出来。。。

以前为 uap 写的主动踢除 atheros 芯片连接客户端

#!/bin/sh
#etc/persistent/kick_dato.sh
cd /bin;mca-dump | grep -Eo ..\(\:..\){5} >/tmp/mac.lst
iwlist ath0 ap | grep -Eo ..\(\:..\){5} | tr A-Z a-z >/tmp/wmac.tmp
ifconfig | grep -Eo ..\(\:..\){5} | tr A-Z a-z >>/tmp/wmac.tmp

xcl=/tmp/wmac.tmp
_f=/tmp/mac.lst
if [ -e $xcl ] ; then
while read kmac ; do
sed -i -e "/${kmac}/d" $_f
done < $xcl;fi

>/tmp/bmac.lst #

mca-sta 00:00:00:00:00:00 > /dev/null

for i in $(cat /tmp/mac.lst); do signal=`grep -A8 "$i" /tmp/mca_dump.out | sed -n "/signal/p" |grep -o "[0-9]\+"`
if [ $signal -gt 80 ] ;then #设置 rssi 小于多少则条件成立

echo $i>>/tmp/bmac.lst #

for ath in `ls /proc/sys/net | grep ath` ; do iwpriv $ath addmac "$i";iwpriv ath0 kickmac "$i";done
echo "`(date +"%m/%d/%Y %T")` kickmac_$i signal_$signal" >> /tmp/log;fi;done
sleep 3 #;for ath in `ls /proc/sys/net | grep ath` ; do iwpriv $ath maccmd 3;done
for ath in `ls /proc/sys/net | grep ath` ; do for i in $(cat /tmp/bmac.lst);do iwpriv $ath delmac $i;done;done

无线网络是个非常复杂的话题，

1,首先问题最严重的还是周围环境干扰，这个你可以去下个 WirelessNetView 软件，以前的公司周围遍布 60 个 AP ，而 2.4G 只有 3 个邻近信道， 1/6/11,2/7/12,3/8/13 。这种环境折腾无线只有哭的份，不知道无线信号来自哪里，也不大可能跟人家协商信道的使用，员工每天可以打爆你的电话，任何吹成神的 AP 最后还是布有线省事。当然你有时间可以慢慢根据周围信号强度指定信道，然后通过简单的 ping 192.168.1.1 -t 观察延迟情况就可以了，问题是你今天调整了，人家明天又自动变一个。。。永无宁日。最后也许以后只能期待老板建个铜墙铁壁的建筑。

2,接着因为 wifi 协议的队列问题，所谓的无线弱信号水桶原理，最弱的信号成为整个 AP 影响整体性能最厉害的那环，而通常一个进入黑屏的 iphone 可以弱到-85dbm 。这个弱信号原理铁定是存在的，但是在一些干扰少的环境通过购买一个大功率 AP 在 3L 左侧墙壁连接 2L 右侧墙壁的大功率 AP 这个弱信号原理可以无视它的存在。

3,设备多了各种兼容性问题就出来了，像那 ubnt UAP 稳定性烂得一踏糊涂。好多年没买过 tplink 的设备了。。。反而是以前的那些 tp641+之前的型号更稳定。。。

4,至少掌握基于 ip 的流量限速，虽然这种 qos 不是最佳的方法，但至少可以防止少量用户占用 90%以上的带宽，别相信员工的鬼话，好好工作，下毛片看视频的多的是。

用过的设备也少，也许我会向你推荐 mtk7620 刷 asus 固件，这个也许是最便宜的选择，然后如果确认信道没有占用的话，布个 3 个上去，解决 40 个设备还是小菜一碟。

培训相对来说是个低投入高产出的行业，以前的公司从营收 1 亿突然增长到 10 多亿。一个做英语培训的部门从 2 千万增长到接近 4 亿的产值。甚至中小学生培训一小时培训收费 900 多听了吓死人，而实际老师才 70 元 /小时。

it 行业授课人群不像中小学生不靠家长，大多是对自己现在工作不满意自掏腰包一次付费 500-3 万之间选择也相对慎重。问题是短短几个月时间你能学到东西吗？以前 java 火爆，对培训人员要求很高，高中生非计算机专业人员不收，这样上课不会因为培训人员基础差距导致进度不一，培训出来的人员才能推荐到 IBM 之类的公司。可是培训事实是个营收行业，到了人家做游戏项目时完全就是只要你能出学费小学生也收。。。生源质量可想而知。
培训也不是这么好做的，规模一直在缩小， 400 平方的场地年租金电费要 80 多万，网络推广 100 多万以上(以前这 100 多万就是纯利润，后来笑称都是给百度打工的，每天烧 2500 块真是烧不起)。培训教师基本都是在职人员有好有坏，教学质量无法控制，有责任心的下下课时间还帮学员辅导，没责任心的没到时间就下课了。
至于包就业，和民政局的培训项目一旦学员培训成功就会返还学费到培训机构，培训机构确实也是有能力推荐好的就业单位的，可是培训质量就那样，培训人员学习能力也就那样最终不符合用人单位要求的也是大把人在。

最后培训成了拼资源行业，看谁能烧得起百度推广。大部分人慕名而来，最终失望离去。

真贵，以前买的 18$希望能换 ip ，对方还不愿意，现在竟然可以 19$换 ip ，我当然更不愿意。

现在用搬瓦工只使用 l2tp,stunnel,kcptun 还是非常稳定的。像 softether 自己的客户端似乎很容易触发直接强行半路砍断连接。