使用TC实现基于linux的流量管理

　　Red Hat Linux 7.3 内核 2.4.18 以上。

　　在服务器的eth0 绑定了外部地址 eth0：192.168.1.3

　　eth1 绑定了内部地址 eth1:1 172.17.1.1

　　eth1:2 172.18.1.1

　　eth1:3 172.19.1.1

　　现在要实现的功能就是整个出口限制在512kbit（上传流量） , 172.17网段的下载流量下载到512Kbit ,172.18 网段限制在128kbit，172.19的网段限制到 3Mbit。

　　方法如下：

　　首先绑定相应的地址，实现路由设定，使用iptables实现。

　　# iptables ?A input -F

　　# iptables -A output -F

　　# iptables -A forward -F

　　#echo 1 > /proc/sys/net/ipv4/ip_forward

　　#允许转发

　　# iptables -A input ?j accept

　　# iptables -A output -j accept

　　# iptables -A forward -j accept

　　# iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE

　　# iptables -t nat -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE

　　# iptables -t nat -A POSTROUTING -s 172.19.0.0/16 -j MASQUERADE

　　＃进行IP地址伪装，使得内部的主机的数据包能通过服务器和外界联系。

　　进行流量管理

　　＃tc qdisc add dev eth0 root tbf rate 512k lantency 50ms burst 1540

　　＃在网卡eth0上使用tbf（TokenBucket Filter）过滤队列，将出口限制在512kbit，延迟50ms，突发数据1540，rate指定的数值就是限制的带宽。

　　继续在eth1做限制。

　　#tc qdisc add dev eth1 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8

　　#创建队列，指明网卡为100M网卡，这个跟流量限制无关，用于计算使用。

　　＃tc class add dev eth1 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 5Mbit weight 6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

　　创建根分类，带宽限制在5Mbit，并且不允许借用别的带宽。

　　Prio 后面的参数为优先级，指定数据包处理的顺序。

　　＃tc class add dev eth1 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 512kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

　　在跟类底下，创建分类1：3 限制带宽为512kbit，不允许借用带宽，用于172.17网段。

　　＃tc class add dev eth1 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 128kbit weight 5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

　　在跟类底下，创建分类1：4 限制带宽为128kbit，不允许借用带宽，用于172.18网段。

　　＃tc class add dev eth1 parent 1:1 classid 1:5 cbq bandwidth 100Mbit rate 3Mbit weight 10Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

　　在跟类底下，创建分类1：5 限制带宽为3Mbit，不允许借用带宽，用于172.19网段。

　　＃tc qdisc add dev eth1 parent 1:3 handle 30: sfq

　　＃tc qdisc add dev eth1 parent 1:4 handle 40: sfq

　　＃tc qdisc add dev eth1 parent 1:5 handle 50: sfq

　　在每个分类底下，创建队列，使用sfq（Stochastic Fareness Queueing）随即公平队列。

　　＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.17.0.0/16 flowid 1:3

　　＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.18.0.0/16 flowid 1:4

　　＃tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip dst 172.19.0.0/16 flowid 1:5

　　使用u32过滤器，对目的地址进行分类，对应已创建的队列。

　　通过以上方式实现了简单的流量控制，限制出口的上传流量连同内口的下载流量。

　　172.18.1.2 进行下载 限制的是 128kbit，下载速率为 13-16.3kB

　　172.19.1.2 进行下载 限制的是 3Mbit，下载速率达到 180-500kB

　　注：不匹配任何规则的数据包，将已root 设定的规则发送。

　　发现3M带宽的限制误差比较大。

　　以上的测试都是基于单机的，没有测试满负载的情况。

　　以上的文章是匆忙之中写出来的，TC过滤器涉及到的东西极多，有很多中方法能够实现，基于ip地址或基于端口都能够实现。