Verwenden Sie TC, um die Netzwerkstrombegrenzung unter Linux elegant zu implementieren

1. Prinzip der Flusskontrolle unter Linux

Wir können steuern, wie Pakete gesendet werden, indem wir sie in die Warteschlange stellen. Diese Art der Steuerung wird als Datenformung bezeichnet und führt die folgenden Operationen an den Daten aus:

• Erhöhte Latenz
• Pakete abwerfen
• Neu anordnen
• Doppelt oder beschädigt
• Kontrollrate

Unter der qdisc-class-filter-Struktur sind drei Schritte erforderlich, um den Fluss zu steuern:

• Qdisc-Warteschlange erstellen

Da Linux den Datenverkehr durch das Einreihen von Paketen steuert, benötigt es zunächst eine Warteschlange.

• Klassenklassifizierung erstellen

class wird tatsächlich zur Klassifizierung von Verkehrsrichtlinien verwendet. Beispielsweise können zwei Verkehrsgeschwindigkeitsbegrenzungsstufen unterteilt werden: 10 MBit/s und 20 MBit/s.

• Filterfilter erstellen

Obwohl die Klassenklassifizierung erstellt wurde, wurden weder IP noch Port an die Klasse gebunden, sodass zu diesem Zeitpunkt keine Kontrollwirkung vorliegt. Sie müssen außerdem einen Filter erstellen, um die angegebene IP und den angegebenen Port an die Klasse zu binden, damit die Flusskontrollklasse auf die Ressource wirksam werden kann.

TC ist ein von Linux bereitgestelltes Verkehrskontrolltool und eine der Kerninfrastrukturen von Netzwerkkomponenten wie Cilium/eBPF.

2. Begrenzen Sie die Zugriffsgeschwindigkeit der angegebenen IP und des Ports auf diese Maschine

2.1 Netzwerkkarte anzeigen

ifconfig

eth0: flags=4163  mtu 1500
        inet 1.1.1.1  netmask 255.255.254.0  broadcast 1.1.1.1
        inet6 1::1:1:1:1  prefixlen 64  scopeid 0x20
        ether 1:1:1:1:1:1  txqueuelen 1000  (Ethernet)
        RX packets 2980910  bytes 2662352343 (2.4 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1475969  bytes 122254809 (116.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

2.2 Konfiguration qdisc-class-filter

• Erstellen Sie eine qdisc-Root-Warteschlange

tc qdisc add dev eth0 root handle 1: htb default 1

• Erstellen Sie eine Klasse der ersten Ebene, um alle Bandbreitenressourcen zu binden

Beachten Sie, dass die Einheit hier 6 MBps，也就是 48 Mbps ist.

tc class add dev eth0 parent 1:0 classid 1:1 htb rate 6MBps burst 15k

• Erstellen Sie eine Unterkategorieklasse

Sie können mehrere Unterkategorien erstellen, um den Ressourcenverkehr auf raffinierte Weise zu verwalten.

tc class add dev eth0 parent 1:1 classid 1:10 htb rate 6MBps ceil 10MBps burst 15k

Hier legt ceil die Obergrenze fest. Unter normalen Umständen beträgt die Geschwindigkeitsbegrenzung 6 Mbit/s, aber wenn das Netzwerk inaktiv ist, kann sie 10 Mbit/s erreichen.

• Filter erstellen, IP einschränken

tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst 1.2.3.3 flowid 1:10

Unterrichtsstrategie zu 1.2.3.4 进行限制带宽为 1:10，也就是 6MBps。当然，你也可以直接给网段 1.2.0.0/16 hier hinzufügen.

2.3 查看并清理配置

• 查看 class 配置

tc class show dev eth0

class htb 1:10 parent 1:1 leaf 10: prio 0 rate 48Mbit ceil 80Mbit burst 15Kb cburst 1600b 
class htb 1:1 root rate 48Mbit ceil 48Mbit burst 15Kb cburst 1590b

• 查看 filter 配置

tc filter show dev eth0

filter parent 1: protocol ip pref 1 u32 chain 0 
filter parent 1: protocol ip pref 1 u32 chain 0 fh 800: ht divisor 1 
filter parent 1: protocol ip pref 1 u32 chain 0 fh 800::800 order 2048 key ht 800 bkt 0 f

lowid 1:10 not_in_hw 


  match 01020303/ffffffff at 16

• 清理全部配置

tc qdisc del dev eth0 root

3. 限制本机对指定 IP、Port 的访问速度

由于排队规则主要是基于出口方向，不能对入口方向的流量（Ingress）进行限制。因此，我们需要将流量重定向到 ifb 设备上，再对 ifb 的出口流量（Egress）进行限制，以最终达到控制的目的。

3.1 启用虚拟网卡

• 将在 ifb 设备

modprobe ifb numifbs=1

• 启用 ifb0 虚拟设备

ip link set dev ifb0 up

3.2 配置 qdisc-class-filter

• 添加 qdisc

tc qdisc add dev eth0 handle ffff: ingress

• 重定向网卡流量到 ifb0

tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress re

direct dev ifb0

• 添加 class 和 filter

tc qdisc add dev ifb0 root handle 1: htb default 10

tc class add dev ifb0 parent 1:0 classid 1:1 htb rate 6Mbps

tc class add dev ifb0 parent 1:1 classid 1:10 htb rate 6Mbps

tc filter add dev ifb0 parent 1:0 protocol ip prio 16 u32 match ip dst 1.2.3.4  flowid 1:

10

3.3 查看并清理配置

• 下面是限速本机对指定 IP 访问的监控图

进入的流量被限制在 6 MBps 以下，而出去的流量不被限制。

• 查看 class 配置

tc class show dev ifb0

class htb 1:10 parent 1:1 prio 0 rate 48Mbit ceil 48Mbit burst 1590b cburst 1590b 

class htb 1:1 root rate 48Mbit ceil 48Mbit burst 1590b cburst 1590b 

• 查看 filter 配置

tc filter show dev ifb0

filter parent 1: protocol ip pref 16 u32 chain 0 
filter parent 1: protocol ip pref 16 u32 chain 0 fh 800: ht divisor 1 
filter parent 1: protocol ip pref 16 u32 chain 0 fh 800::800 order 2048 key ht 800 bkt 0 

flowid 1:10 not_in_hw 

  match 01020304/ffffffff at 16

• 清理全部配置

tc qdisc del dev eth0 ingress
tc qdisc del dev ifb0 root
modprobe -r ifb

Das obige ist der detaillierte Inhalt vonVerwenden Sie TC, um die Netzwerkstrombegrenzung unter Linux elegant zu implementieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!