linux下使用tc对流量进行控制

背景:

在工作中会遇到需要对服务所在机器进行流量控制,随机丢包,制造client端与server端连接失败的场景

tc介绍:

TC--Traffic Control

TC 是 linux 中的流量控制模块,利用队列规定建立起数据包队列,并定义了队列中数据包的发送方式,从而实现对流量的控制。关键字:队列系统,包接收和传输。

Traffic control is the name given to the sets of queuing systems and mechanisms by which packets are received and transmitted on a router. This includes deciding which (and whether) packets to accept at what rate on the input of an interface and determining which packets to transmit in what order at what rate on the output of an interface.

借鉴前辈的经验对tc进行理解:

1,tc 对于包一视同仁,专门负责包的排队分发,官方里面提到一个很经典的说法就是他是一个接收和传输的队列系统,tc 翻译为交通管制是很巧妙的,有鉴于此,我认为他的限速效果最好,无论你是 p2p 包还是什么加密包,只要是包就要受到约束,这样就可以避免了那些日新月异的封装加密之类的包被逃掉了。

2,tc 的类是树架构,有主干和叶这样很分明的区分的,这种层次是很容易理解的,不过文档的解释是相当的难理解,难理解的是怎么做

3,对于 tc 来说,上传和下载行为是这样区分的,上传,就是用户端发送数据包给服务器,假设路由器是双网卡,所以负责发送数据包给服务器的是外网网卡,所以限制上传速度在外网网卡处, 下载,就是服务器发送数据包给用户,因为路由器是双网卡的关系,所以负责发送数据包给用户的是内网网卡,所以限制下载速度是在内网网卡,因为 tc 是一个能够负责接收数据包的工具,所以限制上传速度其实就是限制外网网卡接收用户发送的数据包的速度,而限制下载速度其实就是限制内网网卡接收到要发送给用户的数据包的速度

4,在 linux 中,tc 有二种控制方法 CBQ 和 HTB.HTB 是设计用来替换 CBQ 的.HTB比CBQ更加灵活,但是CPU 开销也更大,通常高速的链路会使用CBQ,一般而言HTB使用的更加广泛我们对 tc 中的 HTB  的规则本质上是一个树形结构,包括三个基本的构成块:队列规定 qdisc(queueing discipline) ,类(class)和分类器(Classifiers).

  • qdisc 队列规则(queueing discipline):用来实现控制网络的收发速度.通过队列,linux可以将网络数据包缓存起来,然后根据用户的设置,在尽量不中断连接(如 tcp)的前提下来平滑网络流量.需要注意的是,linux 对接收队列的控制不够好,所以我们一般只用发送队列,即"控发不控收".它封装了其他两个主要 tc 组件(类和分类器).内核如果需要通过某个网络接口发送数据包,它都需要按照为这个接口配置的 qdisc 队列规则把数据包加入队列.然后,内核会尽可能多地从 qdisc里面取出数据包,把它们交给网络适配器驱动模块.

  • class类:class 用来表示控制策略.很显然,很多时候,我们很可能要对不同的IP实行不同的流量控制策略,这时候我们就得用不同的class来表示不同的控制策略了

  • filter规则:filter 用来将用户划入到具体的控制策略中(即不同的 class 中).比如,现在,我们想对xxa,xxb两个IP实行不同的控制策略(A,B),这时,我们可用 filter 将 xxa 划入到控制策略 A,将 xxb 划入到控制策略 B,filter 划分的标志位可用 u32 打标功能或 IPtables 的 set-mark (大多使用iptables 来做标记)功能来实现. 目前,tc可以使用的过滤器有:fwmark分类器,u32 分类器,基于路由的分类器和 RSVP 分类器(分别用于IPV6、IPV4)等;其中,fwmark 分类器允许我们使用 Linux netfilter 代码选择流量,而 u32 分类器允许我们选择基于 ANY 头的流量 .需要注意的是,filter (过滤器)是在QDisc 内部,它们不能作为主体.

我对tc的应用

由于tc控发不控收的特点,本次选择在server端进行限速,即控制server端向client端发出的数据包,可以制造连接失败的场景。

  • 启动tc

#!/bin/bash

# 首先删除eth0(或许)已经存在的队列规则

sudo tc qdisc del dev eth0 root

# 此命令立即在1:下(指定在 root 类 1:0 中)创建了类 : 1:1, 1:2, 1:3 ( 缺省三个子类 )

sudo tc qdisc replace dev eth0 root handle 1: prio

# 在缺省类1:3下 的传输设置为延迟${1}毫秒  丢包率100%  字节数硬限制1000

sudo tc qdisc replace dev eth0 parent 1:3 handle 30: netem delay 1000ms loss 100% limit 1000

#在1:0节点下加一个过滤规则,过滤协议为IP,使用u32过滤器,凡是去往 $2 ,$port的数据包,发送到频道 1:3

sudo tc filter replace dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst (IP地址) match ip dport (port) 0xffff flowid 1:3

以上凡是去往IP:port的数据包进入到频道1:3,就可以按照设置好的规则对数据包进行延迟,丢包,字节数等的限制

  • 停止tc

#!/bin/bash

sudo tc qdisc ls dev eth0

# 删除eth0存在的队列规则即可

sudo tc qdisc del dev eth0 root

 

你可能感兴趣的:(linux下使用tc对流量进行控制)