实战应用:使用Linux TC进行流量安全管理(一)

日期: 2012-11-28 作者:羽扇纶巾 来源:TechTarget中国

Linux从kernel 2.1.105开始支持QoS(服务质量),不过,需要重新编译内核。具体步骤为:   (1)运行 make config命令时,将EXPERIMENTAL_OPTIONS选项设置成y;  (2)将 Class Based Queueing (CBQ)、Token Bucket Flow、Traffic Shapers选项设置为y;  (3)运行make dep; make clean; make bzimage,生成新的内核。   在Linux中流量控制器(TC)主要是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号的流……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Linux从kernel 2.1.105开始支持QoS(服务质量),不过,需要重新编译内核。具体步骤为:

  (1)运行 make config命令时,将EXPERIMENTAL_OPTIONS选项设置成y;
  (2)将 Class Based Queueing (CBQ)、Token Bucket Flow、Traffic Shapers选项设置为y;
  (3)运行make dep; make clean; make bzimage,生成新的内核。

  在Linux中流量控制器(TC)主要是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号的流量控制。流量控制器TC,其基本的功能模块为队列、分类和过滤器。Linux内核中支持的队列有,Class Based Queue ,Token Bucket Flow ,CSZ ,First In First Out ,Priority ,TEQL ,SFQ ,ATM ,RED。由于目前网络流量种类繁多,网络管理员在管理时通常都采用分类的方式进行,因此,本文所介绍的队列与分类都是基于CBQ(Class Based Queue)的,而过滤器是基于路由(Route)的,其他的分类方式和过滤器使用方式请参看相关的技术文献。

  配置和使用流量控制器TC,主要分以下几个方面:分别为建立队列、建立分类、建立过滤器和建立路由,另外还需要对现有的队列、分类、过滤器和路由进行监视。其基本使用步骤为:

  (1)针对网络物理设备绑定一个CBQ队列;
  (2)在该队列上建立分类;
  (3)为每一分类建立一个基于路由的过滤器;
  (4)最后与过滤器相配合,建立特定的路由表

  使用Linux TC进行流量控制实例

  实例环境及拓扑

  在一个局域网中(如图1所示),我们设定流量控制器上的以太网卡(设备名为eth0)的IP地址为10.172.4.66,在其上建立一个CBQ队列。假设包的平均大小为1K字节,包间隔发送单元的大小为8字节,可接收冲突的发送最长包数目为20字节。假如有三种类型的流量需要控制:

  (1)发往主机1的流量,其IP地址设定为10.172.4.138。其流量带宽控制在500Mbit,优先级为2;
  (2)是发往主机2的,其IP地址为10.172.4.141。其流量带宽控制在200Mbit,优先级为1;
  (3)是发往子网1的,其子网号为10.172.4.0,子网掩码为255.255.255.0。流量带宽控制在300Mbit,优先级为6。

  那么,根据上面的实例条件,我们可以采用如下的步骤进行TC配置和控制:

图1  Linux TC流量控制示意图

  1.绑定CBQ队列

  一般情况下,针对一个网卡只需建立一个队列:

  将一个cbq队列绑定到网络物理设备eth0上,其编号为1:0;网络物理设备eth0的实际带宽为1000Mbit,包的平均大小为1000字节;包间隔发送单元的大小为8字节,最小传输包大小为64字节。

  #tc qdisc add dev eth0 root handle 1: cbq bandwidth 1000Mbit avpkt 1000 cell 8 mpu 64

  2.为队列建立分类

  分类建立在队列之上。一般情况下,针对一个队列需建立一个根分类,然后再在其上建立子分类。对于分类,按其分类的编号顺序起作用,编号小的优先;一旦符合某个分类匹配规则,通过该分类发送数据包,则其后的分类不再起作用。

  (1)创建根分类1:1;分配带宽为1000Mbit,优先级别为8。

  #tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 1000Mbit rate 1000Mbit maxburst 20 allot 1514 prio 8 avpkt 1000 cell 8 weight 100Mbit

  该队列的最大可用带宽为1000Mbit,实际分配的带宽为1000Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为8,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为100Mbit。

  (2)创建分类1:2,其父分类为1:1,分配带宽为500Mbit,优先级别为2。

  #tc class add dev eth0 parent 1:1 classid 1:2 cbq bandwidth 1000Mbit rate 500Mbit maxburst 20 allot 1514 prio 2 avpkt 1000 cell 8 weight 50Mbit split 1:0 bounded

  该队列的最大可用带宽为1000Mbit,实际分配的带宽为500Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为1,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为50Mbit,分类的分离点为1:0,且不可借用未使用带宽。

  (3)创建分类1:3,其父分类为1:1,分配带宽为200Mbit,优先级别为1。

  #tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 1000Mbit rate 200Mbit maxburst 20 allot 1514 prio 1 avpkt 1000 cell 8 weight 20Mbit split 1:0

  该队列的最大可用带宽为1000Mbit,实际分配的带宽为200Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为2,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为20Mbit,分类的分离点为1:0。

  (4)创建分类1:4,其父分类为1:1,分配带宽为300Mbit,优先级别为6。

  #tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 1000Mbit rate 300Mbit maxburst 20 allot 1514 prio 6 avpkt 1000 cell 8 weight 30Mbit split 1:0

  该队列的最大可用带宽为1000Mbit,实际分配的带宽为300Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为1,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为30Mbit,分类的分离点为1:0。

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。