当前位置:Linux教程 - 网络安全 - 网络安全 - 使用TC实现基于linux的流量管理

网络安全 - 使用TC实现基于linux的流量管理

使用TC实现基于linux的流量管理
2004-04-23 15:18 pm
来自:Linux文档
现载:Www.8s8s.coM
地址:无名

参考文献:tc weizhishu www.chinalinuxpub.com
linux Advanced Routing & Traffic Control HOWTO by Bert Hubert
http://www.chinalinuxpub.com/vbbfor...&threadid=18601
请认真阅读上面的文章,掌握好相应的概念。
Red Hat linux 7.3 内核 2.4.18 以上。
局域网的网络拓扑:


在服务器的eth0 帮定了外部地址 eth0:192.168.1.3
eth1 帮定了内部地址 eth1:1 172.17.1.1
eth1:2 172.18.1.1
eth1:3 172.19.1.1

现在要实现的功能就是整个出口限制在512kbit(上传流量) , 172.17网段的下载流量下载到512Kbit ,172.18 网段限制在128kbit,172.19的网段限制到 3Mbit。
方法如下:
首先帮定相应的地址:(不细述)
实现路由设定,使用iptables实现。

# iptables –A input -F
# iptables -A output -F
# iptables -A forward -F
#echo 1 > /proc/sys/net/ipv4/ip_forward
#允许转发
# iptables -A input –j accept
# iptables -A output -j accept
# iptables -A forward -j accept
# iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s 172.19.0.0/16 -j MASQUERADE

#进行IP地址伪装,使得内部的主机的数据包能通过服务器与外界联系。
进行流量管理

#tc qdisc add dev eth0 root tbf rate 512k lantency 50ms burst 1540

#在网卡eth0上使用tbf(TokenBucket Filter)过滤队列,将出口限制在512kbit,延迟50ms,突发数据1540,rate指定的数值就是限制的带宽。
继续在eth1做限制。

#tc qdisc add dev eth1 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8

#创建队列,指明网卡为100M网卡,这个跟流量限制无关,用于计算使用。

#tc class add dev eth1 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 5Mbit weight 6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

创建根分类,带宽限制在5Mbit,并且不允许借用别的带宽。
Prio 后面的参数为优先级,指定数据包处理的顺序。

#tc class add dev eth1 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 512kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下,创建分类1:3 限制带宽为512kbit,不允许借用带宽,用于172.17网段。

#tc class add dev eth1 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 128kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下,创建分类1:4 限制带宽为128kbit,不允许借用带宽,用于172.18网段。

#tc class add dev eth1 parent 1:1 classid 1:5 cbq bandwidth 100Mbit rate 3Mbit weight 10Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下,创建分类1:5 限制带宽为3Mbit,不允许借用带宽,用于172.19网段。

#tc qdisc add dev eth1 parent 1:3 handle 30: sfq
#tc qdisc add dev eth1 parent 1:4 handle 40: sfq
#tc qdisc add dev eth1 parent 1:5 handle 50: sfq

在每个分类底下,创建队列,使用sfq(Stochastic Fareness Queueing)随即公平队列。

#tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.17.0.0/16 flowid 1:3
#tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.18.0.0/16 flowid 1:4
#tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.19.0.0/16 flowid 1:5

使用u32过滤器,对目的地址进行分类,对应已经创建的队列。
通过以上方式实现了简单的流量控制,限制出口的上传流量以及内口的下载流量。
测试从 172.17.1.2 进行下载 限制的是 512kbit ,下载速率为 64-65kB
172.18.1.2 进行下载 限制的是 128kbit,下载速率为 13-16.3kB
172.19.1.2 进行下载 限制的是 3Mbit,下载速率达到 180-500kB
注:不匹配任何规则的数据包,将已root 设定的规则发送。
发现3M带宽的限制误差比较大。
以上的测试都是基于单机的,没有测试满负载的情况。
以上的文章是匆忙之中写出来的,TC过滤器涉及到的东西极多,有很多中方法可以实现,基于ip地址或者基于端口都可以实现。

希望各位多多讨论,多多完善。