1 HTB(Hierarchical Token Bucket, 分层的令牌桶)
HTB 使用令牌和存储桶的概念,以及基于类的系统和过滤器,以允许对流量进行复杂和精细的控制。借助复杂的借用模型,HTB 可以执行各种复杂的流量控制技术。该队列规则允许用户定义所使用的令牌和桶的特征,并允许用户以任意方式嵌套这些桶。当与分类方案结合使用时,可以非常精细地控制流量。HTB 非常适用于这种情况:如果有一个固定速率的链路,希望分割给多种不同的用途使用,为每种用途做出带宽承诺并实现定量的带宽借用。HTB 不同于 CBQ 的是并不靠计算闲置时间来整形。它是一个分类的令牌桶过滤器。
1.1 HTB 的参数介绍
default
每个 HTB 队列的可选参数,默认值为 0,其意义是任何未分类的流量以物理网卡的速率出队,完全绕过连接到根队列的任何分类。如果指定了 default 的值,未分类(不能和 filter 匹配)的流量(默认的)会被送到这个参数所指定的类中。
rate
用来设置限制传输的流量速率。
ceil
用来设置限制传输流量的最大所需速率。如果需要设置共享带宽,则需使用此参数。这个参数可以被认为相当于“可突发带宽”
burst
桶的大小。前面在讨论不可分类的队列规则时提到过令牌桶过滤器 TBF,桶的概念就是其中的令牌,用于处理数据的传输时必要的参数,如果需要具体了解可以参考前面的内容
cburst
这是 ceil 桶的大小。在等待更多的令牌到来之前,HTB 会使 cburst 字节出列。这里涉及令牌流与数据流的概念与关系,具体可参考前面不可分类的队列规定
quantum
每轮当前的类能发送的字节数,这是用来控制租借带宽的关键参数。其默认计算 quantum = rate / r2q。quantum 必须大于 1500 小于 60000。quantum 只在 class 的流量超过了 rate 但是没有超过 ceil 时使用,它的值越小,带宽共享的效果就越好。
1.2 配置范例
这个配置把 WEB 服务器的流量控制为 5Mbps、SMTP 流量控制在 3Mbps。而且二者一共不得超过 6Mbps,互相之间允许借用带宽。
# sudo tc qdisc add dev enp0s5 root handle 1: htb default 30 # sudo tc class add dev enp0s5 parent 1:0 classid 1:1 htb rate 6Mbit burst 15k # sudo tc class add dev enp0s5 parent 1:1 classid 1:10 htb rate 5Mbit burst 15k # sudo tc class add dev enp0s5 parent 1:1 classid 1:20 htb rate 3Mbit ceil 6Mbit burst 15k # sudo tc class add dev enp0s5 parent 1:1 classid 1:30 htb rate 1kbit ceil 6Mbit burst 15k
在那些类的下方放置 SFQ:
# sudo tc qdisc add dev enp0s5 parent 1:10 handle 10: sfq perturb 10 # sudo tc qdisc add dev enp0s5 parent 1:20 handle 20: sfq perturb 10 # sudo tc qdisc add dev enp0s5 parent 1:30 handle 30: sfq perturb 10
添加过滤器,直接把流量导向相应的类:
# U32="sudo tc filter add dev enp0s5 protocol ip parent 1:0 prio 1 u32" # $U32 match ip dport 80 0xffff flowid 1:10 # $U32 match ip sport 25 0xffff flowid 1:20
如果 10: 和 20: 都得到了保证的速率,剩下的就是分割了,它们借用的比率是 5:3。未被分类的流量被送到了 30:,仅有一点点带宽,但是却可以任意借用剩下的带宽。因为其内部使用了 SFQ,而可以公平发包。
控制服务器对外的速度为 20Mbit,服务器只能向外发 20Mbit 的数据包。
# sudo tc qdisc del dev enp0s5 root 2> /dev/null > /dev/null # sudo tc qdisc add dev enp0s5 root handle 1: htb # sudo tc class add dev enp0s5 parent 1:0 classid 1:1 rate 100Mbit ceil 100Mbit # sudo tc class add dev enp0s5 parent 1:1 classid 1:10 rate 20Mbit ceil 20Mbit # sudo tc qdisc add dev enp0s5 parent 1:10 sfq perturb 10 # sudo tc filter add dev enp0s5 protocol ip parent 1:0 prio 2 u32 match ip dst 192.168.224.60 flowid 1:1 # sudo tc filter add dev enp0s5 protocol ip parent 1:0 prio 2 u32 match ip dst 0.0.0.0/0 flowid 1:10
上面的命令中创建了两个分类,第一个分类的速率为 100Mbit,假设服务器的 IP 为 192.168.224.60,第一个过滤器是用来处理发往服务器的数据包,让所有发往服务器的数据包由 1:1 直接处理,相当于不受限制。而发往其他目标主机的数据包由 1:10 处理,即服务器只能向外发送 20Mbit 的数据包。如果这里只创建了一个分类,即上面的 1:10,则所有没有被分类的数据包会被网卡直接处理,也能达到不对其限制的目的,但是发往服务器的数据包也会被 1:10 所处理,但这并不是我们所需要的,因此需要再创建一个分类,用来单独处理发往服务器的数据包,使其不受限制,这个分类的速率可以尽情的设置很大。
2 使用过滤器对数据包进行分类
为了决定用哪个类处理数据包,必须调用“分类器链”进行选择。这个链中包含了这个分类队列规定所需的所有过滤器。在前面的队列规定中已经用到了过滤器对数据分类进行处理了,但是没有做任何介绍,这里先对其简单的说明,后面会对常用的过滤器再做稍微详细的说明。
重复前面那棵树:
当一个数据包入队的时候,每一个分支处都会咨询过滤器链如何进行下一步。典型的配置是在 1:1 处有一个过滤器把数据包交给 12:,然后 12: 处的过滤器在把包交给 12:2。你可以把后一个过滤器同时放在 1:1 处,从而提高效率。另外,不能用过滤器把数据包向“上”送。而且,使用 HTB 的时候应该把所有的规则放到根上。再次强调:数据包只能向“下”进行入队操作,只有出队的时候才会上到网卡所在的位置来。他们不会落到树的最底层后送到网卡。
2.1 过滤器的一些简单范例
下面我们就开始,从简单地匹配一些比较明显的特征开始。比方说,我们有一个 PRIO 队列规定,叫做“10:”,包含 3 个类,我们希望把去往 22 口的数据流发送到最优先的频道中去。应该这样设置过滤器:
# sudo tc filter add dev enp0s5 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1 # sudo tc filter add dev enp0s5 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1 # sudo tc filter add dev enp0s5 protocol ip parent 10: prio 2 flowid 10:2
上述配置是说:向 enp0s5 上的 10: 节点添加一个 u32 过滤规则,它的优先权是 1,凡是去往 22 端口(精确匹配)的 IP 数据包,发送到频道 10:1。向 enp0s5 上的 10: 节点添加一个 u32 过滤规则,它的优先权是 1,凡是来自 80 端口(精确匹配)的 IP 数据包,发送到频道 10:1。向 enp0s5 上的 10: 节点添加一个过滤规则,它的优先权是 2,凡是上面未匹配的 IP 数据包,发送到频道 10:2。别忘了添加“dev enp0s5”(你的网卡或许叫别的名字),因为每个网卡的句柄都有完全相同的命名空间。如果想通过 IP 地址进行筛选,可以采用如下命令:
# sudo tc filter add dev enp0s5 parent 10:0 protocol ip prio 1 u32 match ip dst 4.3.2.1/32 flowid 10:1 # sudo tc filter add dev enp0s5 parent 10:0 protocol ip prio 1 u32 match ip src 1.2.3.4/32 flowid 10:1 # sudo tc filter add dev enp0s5 protocol ip parent 10: prio 2 flowid 10:2
这个例子把去往 4.3.2.1 和来自 1.2.3.4 的数据包送到了最高优先的队列,其它的则送到次高优先的队列。可以连续使用 match,如果想匹配来自 1.2.3.4 的 80 口的数据包,可以做如下配置:
# sudo tc filter add dev enp0s5 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 match ip sport 80 0xffff flowid 10:1
2.2 常用到的过滤命令一览
这里列出的绝大多数命令都根据这个命令改编而来:
# sudo tc filter add dev enp0s5 parent 1:0 protocol ip prio 1 u32 ⋯⋯
这些是“u32”的匹配,可以匹配数据包的任意部分。
根据源/目的地址:
源地址段 'match ip src 1.2.3.0/24'
目的地址段 'match ip dst 4.3.2.0/24'
单个 IP 地址使用“/32”作为掩码即可。
根据源/目的端口,所有 IP 协议:
源 'match ip sport 80 0xffff'
目的 'match ip dport 80 0xffff'
根据 IP 协议(tcp, udp, icmp, gre, ipsec) :
使用 /etc/protocols 所指定的数字。比如: icmp 是 1: 'match ip protocol 1 0xff'。
根据 fwmark:
可以使用 ipchains/iptables 给数据包做上标记,并且这个标记会在穿过网卡的路由过程中保留下来。如果希望对来自 eth0 并从 eth1 发出的数据包做整形,这就很有用了。语法是这样的:
# sudo tc filter add dev eth1 protocol ip parent 1:0 prio 1 handle 6fw flowid 1:1
注意,这不是一个 u32 匹配。可以象这样给数据包打标记:
# sudo iptables -A PREROUTING -t mangle -i eth0 -j MARK --set-mark 6
数字 6 是可以任意指定的。
按TOS 字段:
选择交互和最小延迟的数据流:
# sudo tc filter add dev enp0s5 parent 1:0 protocol ip prio 10 u32 atch ip tos 0x10 0xff flowid 1:4
想匹配大量传输的话,使用“0x08 0xff”。