使用tc命令结合HTB算法可限制单个IP带宽,先清理旧规则,创建根qdisc和主class,再为特定IP创建子class并设置rate与ceil均为5mbit,最后通过u32过滤器匹配源/目的IP并将流量导向该class,实现上传和下载限速。
在Linux环境下,要限制单个IP的带宽,最核心的工具就是
tc(traffic control)。它允许我们对网络流量进行精细化管理,通过创建队列规则(qdisc)、分类(class)和过滤器(filter),我们可以精确地控制特定IP地址的上传和下载速度。这通常涉及到Hierarchical Token Bucket (HTB) 或 Token Bucket Filter (TBF) 算法,其中HTB因其层次化的管理能力,在限制多个IP或服务时更为灵活。
解决方案
限制单个IP的带宽,我们通常会用到
tc命令。以下是一个使用
HTB(Hierarchical Token Bucket)算法来限制特定IP带宽的例子。这个方法相对灵活,可以设定上限和保证速率。
首先,确保你的系统上安装了
iproute2包,
tc命令是其中的一部分。
-
清理旧的
tc
规则: 在开始配置之前,最好先清理掉网卡上可能存在的旧规则,避免冲突。sudo tc qdisc del dev eth0 root 2>/dev/null
这里
eth0
是你的网络接口名,请根据实际情况替换。2>/dev/null
是为了抑制错误输出,如果接口上没有规则,del
命令会报错。 -
创建根队列(Root Qdisc): 我们为
eth0
接口创建一个HTB根队列。sudo tc qdisc add dev eth0 root handle 1: htb default 10
handle 1:
给这个根队列一个句柄,方便后续引用。HTB
指定使用HTB算法。default 10
这是一个默认类别ID。任何未被明确分类的流量都将进入这个ID为10的类别。
-
创建主类别(Main Class): 在根队列下创建一个主类别,它代表了整个接口的可用带宽上限。比如,我们假设你的总带宽是100Mbps。
sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit
parent 1:
指明这个类别是根队列1:
的子类别。classid 1:1
给这个类别一个ID。rate 100mbit
保证的速率。ceil 100mbit
允许的最大突发速率(上限)。这里设为一样,表示最大就是100Mbps。
-
创建受限IP的子类别(Sub-Class for Limited IP): 现在,我们为要限制的特定IP创建一个子类别。假设我们要限制IP
192.168.1.100
的下载(入站)和上传(出站)带宽为5Mbps。-
限制出站(上传)带宽:
sudo tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbit ceil 5mbit
这里
classid 1:10
是为192.168.1.100
分配的类别ID。rate
和ceil
都设为5Mbps,表示其最大速度就是5Mbps。 -
添加过滤器(Filter): 将来自/去往
192.168.1.100
的流量导向到1:10
这个类别。# 限制源IP为192.168.1.100的出站流量 sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip src 192.168.1.100/32 flowid 1:10 # 限制目的IP为192.168.1.100的出站流量 (虽然是出站,但可能需要限制从服务器发给这个IP的流量) sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip dst 192.168.1.100/32 flowid 1:10
protocol ip prio 1
指定协议为IP,优先级为1。u32
这是一个强大的匹配器。match ip src 192.168.1.100/32
匹配源IP为192.168.1.100
的流量。match ip dst 192.168.1.100/32
匹配目的IP为192.168.1.100
的流量。flowid 1:10
将匹配到的流量导向到classid 1:10
。
关于入站(下载)带宽的限制:
tc
默认是在出站方向(egress)工作的。要限制入站(ingress)流量,你需要使用ingress qdisc
,或者更常见、更灵活的做法是在路由器/防火墙上(如果你的Linux服务器是网关)对转发流量进行限制,或者在服务器上使用IMQ
(Ingress Message Queue)或结合iptables
的MARK
标记来实现。对于单个服务器而言,直接限制出站是最直接的,而限制入站则需要更复杂的配置,比如:# 创建一个ingress qdisc sudo tc qdisc add dev eth0 handle ffff: ingress # 为ingress qdisc添加一个过滤器,将入站流量重定向到一个htb qdisc,然后进行限制 # 这部分配置会比出站复杂,通常需要将入站流量重新路由到一个虚拟设备或者使用IFB (Intermediate Functional Block) 设备。 # 鉴于文章目标是“直接输出解决方案”,这里不深入展开IMQ/IFB的复杂配置,只提示一下方向。 # 对于简单场景,很多时候我们只需要限制出站带宽,因为服务器通常是提供服务的,出站带宽更能体现其资源消耗。
如果你确实需要限制下载,一个相对简单的思路是在上游路由器上进行配置,或者在Linux服务器作为网关时,对转发给该IP的流量进行出站限制。
-
-
查看
tc
规则:sudo tc qdisc show dev eth0 sudo tc class show dev eth0 sudo tc filter show dev eth0
通过这些命令,你可以检查你的规则是否生效以及统计信息。
tc
命令的那些坑:配置与调试的经验谈
说实话,
tc这玩意儿,初次接触时简直是劝退神器。它的命令结构复杂,参数众多,而且一旦配置错误,网络可能瞬间瘫痪,或者根本不生效,让你抓耳挠腮。我记得有一次,为了给一个开发环境的数据库服务器限制一下上传带宽,防止它在跑备份时把整个测试网络的上行链路占满,我折腾了整整一个下午。
最大的坑点之一就是规则的瞬时性。你辛辛苦苦敲了一堆
tc命令,测试通过了,结果服务器一重启,嘿,所有配置都没了!这可不是闹着玩的。所以,每次配置完,都得考虑怎么让它持久化。最常见的做法就是写一个shell脚本,放到
/etc/rc.local里(如果系统还用的话),或者更现代的方式是创建一个
systemd服务单元,在网络服务启动后执行这些
tc命令。
这是一套由淘掌门(taozhangmen.net)衍生出来的一个拍拍客系统!这套程序也继承了淘掌门的特点:永久免费开源!无任何时间限制、功能限制、域名限制。 程序相对于淘掌门原型,已去除返利、会员系统、文章系统等。 如果需要文章,可单独下载其他的文章系统,做子目录,效果可能会更好。 程序安装过程与淘掌门相同: 下载上传到空间,执行 你的网址/install.php 安装完成后,登陆后台修改拍拍AP
另一个让我头疼的是句柄(handle)和类别ID(classid)的对应关系。
1:,
1:1,
1:10这些数字,看起来简单,但一旦层级多了,或者不小心弄混了父子关系,整个流量分类就乱套了。
HTB的层次结构很强大,但这也意味着你需要非常清晰地规划你的带宽分配树。
rate和
ceil这两个参数也常常让人迷惑。
rate是保证速率,
ceil是上限速率。如果
rate设得太高,或者
ceil设得太低,都可能达不到预期效果。比如,你给一个IP设了
rate 1mbit ceil 5mbit,意味着它至少能有1Mbps,但最高可以跑到5Mbps,前提是总带宽有富余。如果你想严格限制在5Mbps,那就得像我们上面那样,
rate和
ceil都设为5Mbps。
调试方面,
tc -s qdisc show、
tc -s class show和
tc -s filter show是你的好朋友。
-s参数会显示统计信息,比如有多少数据包通过了这个qdisc或class,这能帮你判断规则是否真的匹配到了流量。如果统计数字一直是零,那说明你的过滤器可能没生效,或者流量根本没经过你设定的接口。别忘了检查接口名称,
eth0、
ens33、
enp0s3这些都可能。
我个人经验是,从最简单的规则开始,逐步增加复杂性。先只设一个根qdisc,再加一个主class,然后是子class和过滤器。每一步都用
tc show命令检查,确保没有问题再进行下一步。如果直接复制粘贴一大段命令,一旦出错,排查起来会非常痛苦。
动态调整与监控:如何让带宽限制更智能?
静态的带宽限制虽然有效,但在很多场景下显得不够灵活。想象一下,如果某个IP平时流量不大,但偶尔需要突发性地传输大量数据,而你给他设了个死死的5Mbps上限,那用户体验肯定不好。这时候,我们就会思考,能不能让带宽限制变得更“智能”一些?
首先,监控是智能化的基础。你需要知道哪些IP或服务正在消耗大量带宽。
iftop、
nload、
vnstat这些工具都是实时或历史带宽使用情况的优秀观察者。
iftop能直接显示哪个IP地址正在进行大量的上传或下载,这对快速定位问题非常有用。
有了监控数据,我们就可以考虑动态调整tc
规则了。这通常需要编写一些脚本。比如,你可以写一个Bash脚本,每隔一分钟运行一次,它会:
- 使用
iftop -t -s 1 -L 1 -P
这样的命令获取当前流量数据(-t
文本模式,-s 1
采样1秒,-L 1
只显示一行,-P
显示端口)。 - 解析输出,找出当前带宽使用量最大的IP。
- 根据预设的阈值,动态调整该IP的
tc
ceil
值。例如,如果某个IP持续两分钟超过了某个阈值,就将其带宽上限降低;如果它持续五分钟低于某个阈值,就适当提高其上限。
这听起来有点像一个简单的流量整形器(traffic shaper)或负载均衡器在做的事情。实现这种动态调整,你需要熟练掌握
tc class change命令,它可以修改现有类别的参数而不需要删除重建。
# 示例:动态调整某个IP的带宽上限 # 假设我们要将192.168.1.100的带宽上限调整为2mbit sudo tc class change dev eth0 parent 1:1 classid 1:10 htb rate 2mbit ceil 2mbit
当然,这种脚本的编写需要考虑很多细节,比如如何避免频繁地调整导致网络抖动,如何处理多个IP同时超标的情况,以及如何记录历史数据以进行更长期的分析。
更高级的解决方案可能会涉及到将
tc与
iptables的
MARK功能结合。你可以使用
iptables根据更复杂的条件(如端口、协议、连接状态等)来标记数据包,然后
tc再根据这些标记将数据包分类到不同的HTB类别中。这样,你就可以实现基于应用层协议或服务类型的带宽限制,而不仅仅是基于IP地址。
总的来说,让带宽限制更智能,意味着从被动管理转向主动感知和动态响应。这不仅能优化网络资源分配,还能显著提升用户体验,避免因僵硬的策略而导致的性能瓶颈。不过,这需要对Linux网络栈有更深入的理解,并且愿意投入时间进行脚本开发和测试。
