Maison >Tutoriel système >Linux >Comment utiliser TC pour implémenter avec élégance la limitation du courant réseau sous Linux

Comment utiliser TC pour implémenter avec élégance la limitation du courant réseau sous Linux

WBOY
WBOYavant
2024-02-11 11:21:451014parcourir

1. Principe de contrôle de flux sous Linux

En mettant les paquets en file d'attente, nous pouvons contrôler la manière dont les paquets de données sont envoyés. Ce type de contrôle, appelé mise en forme des données, façonne les données, comprend les opérations suivantes sur les données :

  • Ajouter du retard
  • Perte de paquets
  • Réorganiser
  • Duplicata, endommagé
  • Contrôle des taux

Sous la structure qdisc-class-filter, trois étapes sont nécessaires pour contrôler le flux :

  • Créer une file d'attente qdisc

Comme mentionné ci-dessus, Linux contrôle le trafic via la mise en file d'attente des paquets, il doit donc d'abord y avoir une file d'attente.

  • Créer une classification de classe

class est en fait la classification des politiques de circulation. Par exemple, la limite de vitesse de circulation est divisée en deux niveaux : 10 MB/s et 20 MBbs.

  • Créer un filtre filtre

Bien que la classification de classe soit créée, aucune adresse IP ou port n'est lié à la classe et il n'y a aucun effet de contrôle pour le moment. Vous devez également créer un filtre pour lier l'adresse IP et le port spécifiés à la classe afin que la classe de contrôle de flux puisse prendre effet sur la ressource.

TC est un outil de contrôle du trafic fourni sous Linux et l'une des infrastructures de base des composants réseau tels que Cilium/eBPF.

2. Limitez la vitesse d'accès de l'adresse IP et du port spécifiés à cette machine

2.1 Afficher la carte réseau

ifconfig

eth0: flags=4163  mtu 1500
        inet 1.1.1.1  netmask 255.255.254.0  broadcast 1.1.1.1
        inet6 1::1:1:1:1  prefixlen 64  scopeid 0x20
        ether 1:1:1:1:1:1  txqueuelen 1000  (Ethernet)
        RX packets 2980910  bytes 2662352343 (2.4 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1475969  bytes 122254809 (116.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

2.2 Configuration qdisc-class-filter

  • Créer une file d'attente racine qdisc
tc qdisc add dev eth0 root handle 1: htb default 1
  • Créez une classe de premier niveau pour lier toutes les ressources de bande passante

Notez que l'unité ici est 6 MBps,也就是 48 Mbps.

tc class add dev eth0 parent 1:0 classid 1:1 htb rate 6MBps burst 15k
  • Créer une classe de sous-catégorie

Vous pouvez créer plusieurs sous-catégories pour gérer le trafic des ressources de manière raffinée.

tc class add dev eth0 parent 1:1 classid 1:10 htb rate 6MBps ceil 10MBps burst 15k

Ici, le plafond fixe la limite supérieure. Dans des circonstances normales, la limite de vitesse est de 6 Mbps, mais lorsque le réseau est inactif, elle peut atteindre 10 Mbps.

  • Créer un filtre, restreindre l'IP
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst 1.2.3.3 flowid 1:10

Ajoutez une stratégie de classe à 1.2.3.4 进行限制带宽为 1:10,也就是 6MBps。当然,你也可以直接给网段 1.2.0.0/16 ici.

2.3 查看并清理配置

  • 查看 class 配置
tc class show dev eth0

class htb 1:10 parent 1:1 leaf 10: prio 0 rate 48Mbit ceil 80Mbit burst 15Kb cburst 1600b 
class htb 1:1 root rate 48Mbit ceil 48Mbit burst 15Kb cburst 1590b
  • 查看 filter 配置
tc filter show dev eth0

filter parent 1: protocol ip pref 1 u32 chain 0 
filter parent 1: protocol ip pref 1 u32 chain 0 fh 800: ht divisor 1 
filter parent 1: protocol ip pref 1 u32 chain 0 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:10 not_in_hw 
  match 01020303/ffffffff at 16
  • 清理全部配置
tc qdisc del dev eth0 root

3. 限制本机对指定 IP、Port 的访问速度

由于排队规则主要是基于出口方向,不能对入口方向的流量(Ingress)进行限制。因此,我们需要将流量重定向到 ifb 设备上,再对 ifb 的出口流量(Egress)进行限制,以最终达到控制的目的。

3.1 启用虚拟网卡

  • 将在 ifb 设备
modprobe ifb numifbs=1
  • 启用 ifb0 虚拟设备
ip link set dev ifb0 up

3.2 配置 qdisc-class-filter

  • 添加 qdisc
tc qdisc add dev eth0 handle ffff: ingress
  • 重定向网卡流量到 ifb0
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
  • 添加 class 和 filter
tc qdisc add dev ifb0 root handle 1: htb default 10
tc class add dev ifb0 parent 1:0 classid 1:1 htb rate 6Mbps
tc class add dev ifb0 parent 1:1 classid 1:10 htb rate 6Mbps
tc filter add dev ifb0 parent 1:0 protocol ip prio 16 u32 match ip dst 1.2.3.4  flowid 1:10

3.3 查看并清理配置

  • 下面是限速本机对指定 IP 访问的监控图
如何在 Linux 下使用 TC 优雅的实现网络限流

进入的流量被限制在 6 MBps 以下,而出去的流量不被限制。

  • 查看 class 配置
tc class show dev ifb0

class htb 1:10 parent 1:1 prio 0 rate 48Mbit ceil 48Mbit burst 1590b cburst 1590b 
class htb 1:1 root rate 48Mbit ceil 48Mbit burst 1590b cburst 1590b 
  • 查看 filter 配置
tc filter show dev ifb0

filter parent 1: protocol ip pref 16 u32 chain 0 
filter parent 1: protocol ip pref 16 u32 chain 0 fh 800: ht divisor 1 
filter parent 1: protocol ip pref 16 u32 chain 0 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:10 not_in_hw 
  match 01020304/ffffffff at 16
  • 清理全部配置
tc qdisc del dev eth0 ingress
tc qdisc del dev ifb0 root
modprobe -r ifb

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer