网络安全 - 使用TC实现基于linux的流量管理

使用TC实现基于linux的流量管理
2004-04-23 15:18 pm
来自：Linux文档
现载：Www.8s8s.coM
地址：无名

参考文献：tc weizhishu www.chinalinuxpub.com
linux Advanced Routing & Traffic Control HOWTO by Bert Hubert
http://www.chinalinuxpub.com/vbbfor...&threadid=18601
请认真阅读上面的文章，掌握好相应的概念。
Red Hat linux 7.3 内核 2.4.18 以上。
局域网的网络拓扑：


在服务器的eth0 帮定了外部地址 eth0：192.168.1.3
eth1 帮定了内部地址 eth1:1 172.17.1.1
eth1:2 172.18.1.1
eth1:3 172.19.1.1

现在要实现的功能就是整个出口限制在512kbit（上传流量） , 172.17网段的下载流量下载到512Kbit ,172.18 网段限制在128kbit，172.19的网段限制到 3Mbit。
方法如下：
首先帮定相应的地址：（不细述）
实现路由设定，使用iptables实现。

# iptables –A input -F
# iptables -A output -F
# iptables -A forward -F
#echo 1 > /proc/sys/net/ipv4/ip_forward
#允许转发
# iptables -A input –j accept
# iptables -A output -j accept
# iptables -A forward -j accept
# iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s 172.19.0.0/16 -j MASQUERADE

＃进行IP地址伪装，使得内部的主机的数据包能通过服务器与外界联系。
进行流量管理

＃tc qdisc add dev eth0 root tbf rate 512k lantency 50ms burst 1540

＃在网卡eth0上使用tbf（TokenBucket Filter）过滤队列，将出口限制在512kbit，延迟50ms，突发数据1540，rate指定的数值就是限制的带宽。
继续在eth1做限制。

#tc qdisc add dev eth1 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8

#创建队列，指明网卡为100M网卡，这个跟流量限制无关，用于计算使用。

＃tc class add dev eth1 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 5Mbit weight 6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

创建根分类，带宽限制在5Mbit，并且不允许借用别的带宽。
Prio 后面的参数为优先级，指定数据包处理的顺序。

＃tc class add dev eth1 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 512kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下，创建分类1：3 限制带宽为512kbit，不允许借用带宽，用于172.17网段。

＃tc class add dev eth1 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 128kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下，创建分类1：4 限制带宽为128kbit，不允许借用带宽，用于172.18网段。

＃tc class add dev eth1 parent 1:1 classid 1:5 cbq bandwidth 100Mbit rate 3Mbit weight 10Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

在跟类底下，创建分类1：5 限制带宽为3Mbit，不允许借用带宽，用于172.19网段。

＃tc qdisc add dev eth1 parent 1:3 handle 30: sfq
＃tc qdisc add dev eth1 parent 1:4 handle 40: sfq
＃tc qdisc add dev eth1 parent 1:5 handle 50: sfq

在每个分类底下，创建队列，使用sfq（Stochastic Fareness Queueing）随即公平队列。

＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.17.0.0/16 flowid 1:3
＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.18.0.0/16 flowid 1:4
＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.19.0.0/16 flowid 1:5

使用u32过滤器，对目的地址进行分类，对应已经创建的队列。
通过以上方式实现了简单的流量控制，限制出口的上传流量以及内口的下载流量。
测试从 172.17.1.2 进行下载 限制的是 512kbit ，下载速率为 64-65kB
172.18.1.2 进行下载 限制的是 128kbit，下载速率为 13-16.3kB
172.19.1.2 进行下载 限制的是 3Mbit，下载速率达到 180-500kB
注：不匹配任何规则的数据包，将已root 设定的规则发送。
发现3M带宽的限制误差比较大。
以上的测试都是基于单机的，没有测试满负载的情况。
以上的文章是匆忙之中写出来的，TC过滤器涉及到的东西极多，有很多中方法可以实现，基于ip地址或者基于端口都可以实现。

希望各位多多讨论，多多完善。