TC学习总结
带宽管理:
TC中规定描述带宽:
mbps = 1024 kbps = 1024 * 1024 bps => byte/s
mbit = 1024 kbit => kilo bit/s
mb = 1024 kb = 1024 * 1024 b =>byte
mbit = 1024kbit => kilo bit.
默认: 数字使用bps和 b方式存储.
无类队列规则: 它能够接受数据和重新编排、延时或丢弃数据包,默认使用pfifo_fast队列规则.
pfifo_fast:
特点: 对任何数据包都使用FIFO(先进先出)队列,来存放入队。但它有3个所谓的"频道",对
每一个频道都使用FIFO规则,内核会优先将TCP的TOS标志位(“最小延迟”)置位的数据包
放入0频道,其它的放入1和2频道中,当然这是默认行为. 三个频道按照0,1,2的顺序,依次
等待处理,即0频道有数据包等待发送,1频道的包就不会发送,若1频道有包等待发送,则
2频道的包将不会被发送。
txqueuelen
#关于网卡设备的缓冲队列长度,可通过ip 或 ifconfig来修改.
ifconfig eth0 txqueuelen 10
priomap:
内核对会根据数据包的优先权将其对应到不同的频道.
TCP报文中TOS字段如下:
TOS值的含义 和 其对应的频道:
对于以下服务推荐TOS设置:
TBF(令牌桶过滤器):
TBF是一个简单队列,它只允许数据包按照事先设定的速率通过,支持设置峰值流量,它很精确,
且对网络和处理器的影响较小,因此比较常用.
TBF的原理:
它实现了一个缓冲器(即令牌桶),在这个桶里面会不断以特定速率往里面填充“令牌",token rate
(令牌速率)是令牌桶比较重要的参数,它是桶的大小,也就是能存储令牌的数量.
如:
rate 200kbps: 它指 令牌桶最多存储200kbit个令牌,一个令牌1bit, 因为要通过1bit的数据,
就需要一个令牌,因此发送速率若为200k bit每秒,则桶里面始终会有令牌,若超过
则没有可用令牌,就会产生丢包,这也就是TBF对流量整型的过程; 若低于此速率
则令牌桶可能会被装满,多余的令牌将丢失。
另外它也隐含说明了,缓存队列的长度,即它最多能缓存多少bit的数据.
理解: 因为令牌的产生是按照系统的时间解析度来产生的,系统时间解析度指
多久为1个时间单位 或 多少HZ(赫兹)一个时间单位, 假如10ms为一个时间单位,
那就是每隔10毫秒系统会生产一个令牌放到令牌桶中。
假如在初始时 桶中当前只有1个令牌,按照200kbit/s的速率, 第一个bit进入,桶中
有令牌取走,该bit通过,接下来的bit,就要等10ms(一个时间单位)后,才能得到下一个
令牌,而第二个bit在等待时,第三个bit已经到了,依次类推,缓存队列最多能存200kbit
数据,若超过了,后续的数据就丢失了,若不超过设定速率,这个队列始终不会被填满.
TBF可用参数:
limit 和 latency:
limit: 允许最多有多少数据(字节数)在队列中等待可用令牌。
latency: 设定一个数据包在缓存队列中等待发送的最长等待时间,若设置它,就相当于
决定了桶的大小、速率和峰值速率,因为数据包大小范围:64~MTU kbit 。
burst/buffer/maxburst:
设置最多一次允许多少个令牌能被立即使用,即峰值速率。
buffer: 设置令牌桶的大小,通常是管理的带宽越大,buffer就需要的越大.
mpu: Minimum Packet Unit:最小分组单位, 它决定了令牌的最低消耗。
rate:设置速率(缺省不限速)
peakrate:设置峰值速率,即: 一个包通过后,下一个包要等多久才允许通过.
如: Unix的时间解析度是10ms(2004年左右的参考值), 若平均包长为10kbit,
则峰值速率最大为1Mbps,即 1秒=1000ms, 按10ms的解析度, 即100个
时间单位,每个时间单位发送10kbit,就是100 X 10kbit = 1Mbps.
mtu/minburst:
mtu: 峰值速率 = mtu X 时间解析度.
例:
tc qdisc add dev ppp0 root tbf rate 220kbit latency 50ms burst 1540
SFQ(Stochastic Fairness Queueing:随机公平队列):
SFQ的精确度不如上面的算法,但它确能以很小的计算量,实现较高的公平数据发送。
SFQ实现的公平是随机的, 因为它是针对一个TCP会话或UDP流,将它们通过散列的
方式平均分配到有限的几个FIFO队列中,所以它们实际上是共享发包机会的,但为了
让尽量公平,SFQ会每隔指定时间改变一次散列算法,以便让这种机制能让所有包都
在几秒内发送出去。
注:
SFQ仅在网卡确实已经被挤满时,才会生效, 来创建队列并散列TCP或UDP数据包到不同
队列中,进行公平调度。
SFQ可用参数:
perturb: 每隔多久改变一次散列算法,10秒是比较合适的值.
quantum: 设置一个流至少传输多少字节后,切换到下一个队列中发送其中的数据包。
建议使用默认值,即最大包长度(MTU). 此值不能设置数值小于MTU!!
例:
# tc qdisc add dev ppp0 root sfq perturb 10
# tc -s -d qdisc ls
qdisc sfq 800c: dev ppp0 quantum 1514b limit 128p flows 128/1024 perturb 10sec
Sent 4812 bytes 62 pkts (dropped 0, overlimits 0)
注:
“ 800c:”这个号码是系统自动分配的句柄号
“ limit”: 是这个队列中可以有 128 个数据包排队等待。
“flows 128/1024”: 一共可以有 1024 个散列目标可以用于速率审计,
而其中 128 个可以同时激活。
perturb 10: 每隔 10 秒散列算法更换一次。
以上队列何时使用最合适:
1. 仅想限速,使用令牌桶过滤器(TBF):调整桶的配置后可用于控制很高的带宽。
2. 若链路已被塞满, 使用SFQ,可避免某一会话独占出口带宽.
3. 若你仅想看看网卡是否有较高的负载,可使用pfifo,而非pfifo_fast,因为pfifo内部
频道可进行backlog统计。
4.最后记住: 技术不能解决一切问题,社交还是需要的!
TC的实现流量控制的大致框架流程如下:
注:
图中Ingress处就根据策略避免超过规定的数据包进入内核,这样可以
减少CPU处理时间。 若数据包顺利进入内核,若它是进入本地进程的,
就转给IP协议栈, 否则就交给egress分类器. 经过审查后,最终被放入
若干队列规定中进行排队,此过程叫入队。如不进行任何配置,默认
只有一个egress队列规定,即pfifo_fast. 当数据包入队后,等待内核处理
并通过某网卡发出,这过程叫出队。
队列规定: 即管理设备输入(ingress)或输出(egress)的算法.根据否能包含子类,
它被分为无类和分类两种:
无类队列规定: 一个内部不包含可配置子类的队列规定.
分类队列规定: 一个分类的队列规定内可包含更多class(类),其中每个子类又
进一步地包含一个分类 或 无类的队列规定。
整形(策略):在数据包被发送前,跟据设定进行适当延迟,避免超过设定的最大速率.
通常采用丢包来实现, 因为TCP的滑动窗口机制可以根据丢包来自动调整
其发送数据包的速率,而UDP只能通过丢包来限制其速率。
Work-Conserving: 对于work-conserving队列规定,若得到一个数据包,就立刻
发送。即:只要网卡(egress队列规定)允许,它就不会延迟数据包发送.
non-Work-Conserving: 有些队列,如TBF(令牌桶过滤器),可能需要暂时停止发包,
以实现限制带宽,也就是说它们有时即时有数据包需要处理,也可能拒绝发送.
过滤器: 对流量进行分类,如:网页流量,视频流量,游戏流量等进行过滤条件匹配,
匹配出来后,交给分类器处理。
分类器: 分类器可将不同的流量分发给 分类队列规定 中不同的子类来处理。
TC的队列规定家族:
root, 句柄(handle), 兄弟节点 和 父节点
注:
句柄(handle): 节点引用标识,它的格式: MajorNumber:MinorNumber,其中父节点的次号码始终为0.
root节点的handle为1:0(可简写为:"1:"), 它有一个子节点 1:1
1:1这个子队列规定有两个父级的子队列规定分别是 10: 和 11:
内核 仅和root qdisc 进行通信, 与物理网卡的通信也是有root qdisc来完成的,它们对应整体
的队列规定家族是透明的,所有对外的接口只有root qdisc一个。
在队列规定内部(我的理解如下):
当内核发来入队请求时, root qdisc 会先调用过滤器来匹配数据包,若没有匹配就直接由分类器
将其下发至子队列规定,它也是先过滤器匹配,然后分类器分发,假如过滤器发现数据包为游戏流量
就将其送入11: 这个父级的子队列规定,接着11: 过滤器继续判断,发现是boos的游戏流量,就将其
分发到11:1,在继续到11:1的过滤器,然后是分类器,完后入队等待发送。
当内核发来出队请求时,root qdisc会向1:1发查询,1:1会分别向10: 和 11:发查询,接着10:会向
其下的10:1 和 10:2发查询,直到11:1发现了要出队的数据包,它将数据包出队发给root qdisc,接着
在内核的指引下,root qdisc将数据包发给网卡。【注: 出队要遍历全队列,所以队列不要太多哦~】
队列规定:
PRIO:它不对流量进行整形,它仅根据配置的过滤器将流量细分到不同的类中,若需要对流量进行整形处理,
可以在这些子类中包含相应的队列,由它们来做整形。默认PRIO队列规定包含3个类,每个类下面包含
一个FIFO队列。
PRIO可以参数:
bands : 指定创建的频道个数,一个频道就是一个类, 默认是3个频道.
priomap: 为PRIO队列规定绑定一个过滤器,默认:根据TOS字段来匹配分类规则与pfifo_fast根据TOS
字段分类一样。
例:
创建如下树:
命令:
#这个命令创建了三个类,1:1, 1:2, 1:3,因为默认bands为3.
tc qdisc add dev eth0 root handle 1: prio
#为第一个子类1:1创建了一个父级子类10:, 并制定内部队列为SFQ(随机公平队列)
tc qdisc add dev eth0 parent 1:1 handle 10: sfq
tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
tc qdisc add dev eth0 parent 1:3 handle 30: sfq
tc -s qdisc ls dev eth0
qdisc sfq 30: quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc tbf 20: rate 20Kbit burst 1599b lat 667.6ms
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 10: quantum 1514b
Sent 132 bytes 2 pkts (dropped 0, overlimits 0)
qdisc prio 1: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 174 bytes 3 pkts (dropped 0, overlimits 0)
测试:
1. 尝试使用scp 复制文件到其它主机. 然后查看 队列统计信息。
2. 书中说 10: 它的优先权最高,交互流量会优先选它, 30:的优先权最低,大量数据流量会优先走它.
需要测试参考 TOS 标志位含义。
CBQ(Class Based Queueing:基于类的队列):
CBQ是根据链路平均空闲时间,来判断链路负载是否需要进行管制(即:整形),它有三种情况:
avgidle = 0 : 则说明当前连路负载最佳,数据包能够精确按照预计时间间隔到达.
avgidle < 0 : 则说明当前链路过载了, 若负值逐渐增大,则说明负载超限(Overlimit),
CBQ将启动整形,开始丢包以禁止发包,禁止发包时长为 超限前计算
出来的数据包平均发送间隔。
avgidle > 0 : 则说明当前链路太空闲了, 若空闲超过几个小时,若此时有流量过来,CBQ
将允许无限制的流量转发, 但这通常不是我期望的,因此需要设置maxidle,
来限制avgidle的值不能太大.
avgidle = 两个数据包平均发送间隔时长 减去 EWMA
EWMA:Exponential Weighted Moving Average:指数加权移动均值,此算法是根据最近
处理的数据包的权值比以前的数据包按指数增加。 【算法具体含义不清楚】
简单理解: 最近数据包权值 = 前一个数据包权值^n+1
另注: UNIX 的平均负载也是这样算出来的
CBQ整形的参数:
avpkt: 平均数据包大小,单位:字节. 它是计算maxidle的参数, maxidle从maxburst得出.
bandwidth: 物理网卡的带宽, 用于计算链路空闲时间.
cell: 它用于设置时间解析度(即:时间精度), 通常设为8,它必须是2的整数次幂。
maxburst: 最大突发数据包的个数(原文: 在avgidle=0前,可允许有maxburst个数据包突发传输出去。)
此值决定了maxidle计算使用的数据包个数【不是很理解】.
minburst: 它是设置超限后CBQ进入禁止发包延时状态后,根据之前计算的空闲时间延迟值,
结合系统调度处理程序离开CPU到下次调度它到CPU上执行的间隔,来适当设置禁止发包的
时长,当处理程序调度到CPU上执行时,一次突发传输 minburst 个数据包.
注: 大尺度时间上, minburst值越大,整形越精确;
从毫秒级时间尺度上,就会有更多突发传输.
禁止发包的等待时间叫: offtime
minidle: 当avgidle < 0,发送越限后,CBQ进入禁止发包的等待状态,但为了避免解禁后,再次
出现突发传输,导致avgidle超限更多,负值越大,导致更长的禁止状态,所以需要设置
一个 minidle 来限制负值无限增大.
注: minidle 10 : 表示avgidle被限制其越限最大值为 -10us (负10微秒)
mpu: 数据包的最小大小.用于CBQ精确计算链路空闲时间
rate: 预期想限制的最大传输速率.
CBQ在数据包分类方面的参数:
注: 这些参数是控制那些队列要参与计算,如:已知该队列中无数据包,就不让其参与调度计算,
及那些队列要被惩罚性的降低优先级等。
CBQ使用prio参数来设定每个类的优先级,值越小越优先; 数据包出队是按照WRR(Weighted
Round Robin:加权轮询) 对root qdisc下每个子类进行轮询,优先级高的子类先被调度,从
该子类中的队列中取数据,接着是次高的,直到全部子类遍历一遍,当然对于没有数据的
子类将自动跳过. 每次从子类中取多少数据是根据 allot * weight 来决定的。
WRR的相关参数:
prio: 设置类的优先级,值越小越优先.
allot: 设置一次发送多少数据量.
weight: 允许多发多少数据的权重数(注: 建议weight=rate/10);假如有如下图:
注:
对于这个图, 1:0这个根类下有两个子类1:1和1:2, 1:1的prio值更小,因此它
更优先被WRR调度;
一级子类1:1它的发送数据的权重=0.2+0.5
一级子类1:2它的发送数据的权重=0.3
而对于1:1的子类来说:
二级1:1发送数据的权重=0.2
二级1:2发送数据的权重=0.5
而2:1与此一样.
CBQ兄弟类之间是否可以互相借用带宽:
isolated / sharing:
isolated: 不会和兄弟类出借暂时多余的带宽。
sharing: 允许借用暂时多余的带宽.
bounded / borrow:
bounded: 不允许借
borrow: 允许借
例:
这个配置把 WEB 服务器的流量控制为 5Mbps、 SMTP 流量控制在 3Mbps , 而且
二者一共不得超过 6Mbps,互相之间允许借用带宽。我们的网卡是 100Mbps的。
# tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8
# tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit \
rate 6Mbit weight 0.6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
注:
子类1:1物理网卡的最大带宽为100Mbit,设置最大速率为6Mbit,允许发送数据量的权重为0.6Mbit.
一次发送数据量为1514(单位:不清楚),允许的最大突发20个数据包,平均包大小为1000字节,时间解析度为8,
不借出带宽给兄弟节点,本例子类1:1没有同级兄弟节点,因此设置或不设置一样.
# tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit \
rate 5Mbit weight 0.5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
# tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit \
rate 3Mbit weight 0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
注:
在子类1:1下有两个子类,它们是可以互相借用空闲带宽的,但他俩最大能使用的总带宽是6Mbit.
Web能占用的带宽 = 6 X (0.5/(0.5+0.3)) Mbps
SMTP能占用的带宽 = 6 X (0.3/(0.5+0.3)) Mbps
# tc qdisc add dev eth0 parent 1:3 handle 30: sfq
# tc qdisc add dev eth0 parent 1:4 handle 40: sfq
# tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid 1:3
# tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid 1:4
注:
这是添加了两个过滤器,用于匹配Web和SMTP的流量,并将它们分别送入1:3和1:4中.
对于没有匹配到的流量,1:0 即root队列规定将直接处理,它采用FIFO队列,不限制直接转发.
注: 以上命令创建的结构如下图:
CBQ的过滤器选项:
split节点: 当你需要使用CBQ自带的过滤器 defmap时,定义defmap的类的父类就称为split节点.
defmap: 它是通过与TCP的TOS(服务类型标志位) 做或运算来匹配特定TOS置位的数据包,并将
这些数据包接入到匹配类中. 0:表示不匹配.
例:
# 1:1就是split节点
# tc qdisc add dev eth1 root handle 1: cbq bandwidth 10Mbit allot 1514 cell 8 avpkt 1000 mpu 64
# tc class add dev eth1 parent 1:0 classid 1:1 cbq bandwidth 10Mbit \
rate 10Mbit allot 1514 cell 8 weight 1Mbit prio 8 maxburst 20 avpkt 1000
# c0: 1100 0000, 它是匹配TOS的第7和6位,即交互和控制位 置位的数据包.
# tc class add dev eth1 parent 1:1 classid 1:2 cbq bandwidth 10Mbit \
rate 1Mbit allot 1514 cell 8 weight 100Kbit prio 3 maxburst 20 avpkt 1000 split 1:0 defmap c0
# 3f:0011 1111, 它是匹配TOS的1~5位,也就是将剩余的所有数据包都匹配到本子类中.
# tc class add dev eth1 parent 1:1 classid 1:3 cbq bandwidth 10Mbit \
rate 8Mbit allot 1514 cell 8 weight 800Kbit prio 7 maxburst 20 avpkt 1000 split 1:0 defmap 3f
root节点1:0接收到的数据包将被分配到1:3 和 1:2子类中的情况为:
补充:
# tc class change dev eth1 classid 1:2 cbq defmap 01/01
# 这个change 可以给defmap提供一个mask(掩码),但是暂时不理解它是什么意思.
# 这是原作者提供的 经过掩码计算后, 优先权值的变化:
HTB(Hierarchical Token Bucket : 分层令牌桶)
有一个固定速率的链路,希望分割给多种不同的用途使用,为每种用途做出带宽承诺并实现定量的带宽借用,
这时你就需要使用HTB队列规则了,它配置相比于CBQ简单.
HTB参数解释:
rate: 设定期望的最大限制速率.
burst: 设置突发流量在现有基础上,可以增大多少.
ceil: 设置速率最高可达到多少. 此参数表明该子类可借用其兄弟类的空闲带宽。
# tc qdisc add dev eth0 root handle 1: htb default 30
注:
default 30: 表明若过滤器没有匹配到的流量都将被分配到root qdisc的1:30这个子类中.
# tc class add dev eth0 parent 1: classid 1:1 htb rate 6mbit burst 15k
# tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbit burst 15k
注:
1:10这个子类,它的最大速率为5Mbps,它不可用借用其兄弟类的带宽.
但下面两个设置ceil ,表明它们可借用兄弟类空闲带宽,最大速率可达到6Mbps.
# tc class add dev eth0 parent 1:1 classid 1:20 htb rate 3mbit ceil 6mbit burst 15k
# tc class add dev eth0 parent 1:1 classid 1:30 htb rate 1kbit ceil 6mbit burst 15k
# tc qdisc add dev eth0 parent 1:10 handle 10: sfq perturb 10
# tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
# tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10
注:
perturb: 设定SFQ(随机公平队列)每隔10秒更新一次随机散列算法,以便入队数据包有机会被排在前面,
最终达到它们都能在可接受的时间内被发送.
添加过滤器,直接把流量导向相应的类:
# U32="tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32"
# $U32 match ip dport 80 0xffff flowid 1:10
# $U32 match ip sport 25 0xffff flowid 1:20
以上命令创建的TC结构图:
TC过滤器创建:
# tc filter add dev 网卡名 parent 父类句柄 protocol ip prio 优先级值 u32 \
[match [ip [[src |dst [IPAddr/CIDR Mask]] [sport |dport 端口号 Mask] | protocol 协议号 Mask]] | \
handle FirewallMark fw] \
flowid 前面父类的子类句柄
注:
protocol: 支持/etc/protocols中定义的协议号.
创建基于端口的过滤器:
# tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1
# tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1
注:
上面两个是精确匹配80, 即: 80和0xffff或运算的值 必须与 目标端口 匹配.
u32: 是一种根据协议内容做数据提取,与指定参数做匹配的参数.
# tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2 #默认所有流量都匹配.
创建基于地址的过滤器:
# tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4.3.2.1/32 flowid 10:1
# tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1.2.3.4/32 flowid 10:1
注:
IP/32: 这是精确匹配主机IP. 若需要匹配网络地址,可使用指定CIDR值,如:192.168.0.0/24
# tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
基于源地址 和 源端口的过滤器:
# tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 match ip sport 80 0xffff flowid 10:1
基于协议号的过滤器:
# tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip protocol 1 0xff flowid 10:1
基于防火墙标记的过滤器:
# tc filter add dev eth1 protocol ip parent 1:0 prio 1 handle 6 fw flowid 1:1
# iptables -A PREROUTING -t mangle -i eth0 -j MARK --set-mark 6
基于TOS字段的过滤器:
# tc filter add dev ppp0 parent 1:0 protocol ip prio 10 u32 match ip tos 0x10 0xff flowid 1:4
高级过滤器:
基于路由的过滤器:
目的地址匹配:
# ip route add 192.168.10.0/24 via 192.168.10.1 dev eth1 realm 10
注:
realm :用于定义一个realm号码,用于表示网络或主机路由.
# tc filter add dev eth1 parent 1:0 protocol ip prio 100 route to 10 classid 1:10
注:
此命令定义节点 1:0 里添加了一个优先级是 100 的路由过滤器(或加分类器),
当来自192.168.10.0/24网络的数据包到达这个节点时,就会查询路由表,
若它要从eth1接口被路由出去,则匹配此路由,进而被发送到类1:10,并赋予优先级值为 100。
源地址匹配:
# ip route add 192.168.2.0/24 dev eth2 realm 2
# tc filter add dev eth1 parent 1:0 protocol ip prio 100 route from 2 classid 1:2
注:
若匹配到从192.168.2.0/24网络过来的数据包,则将其送到1:2节点,并赋予优先级值为100.
管理大量过滤器:
注: 不建议使用,若真的有这类需求,可尝试使用ipset 和 mark结合
当你需要管理大量过滤器时,为了避免大量过滤器对每一个数据包都做匹配,带来严重的系统性能问题,
这里提供一种通过散列表来构建 多个链表,每个链表中仅有几条规则过滤器,以便高效匹配过滤器.
下面的例子是对IP做散列表的示例:
假如说你有 1024 个用户使用一个 Cable MODEM,IP 地址范围是 1.2.0.0 到 1.2.3.255,
每个 IP 都需要不同过滤器来对待,最佳的做法如下:
1. 首先创建一个root过滤器
# tc filter add dev eth1 parent 1:0 prio 5 protocol ip u32
2. 然后构建出一个256项的散列表
# tc filter add dev eth1 parent 1:0 prio 5 handle 2: protocol ip u32 divisor 256
3.然后我们向表项中添加一些规则:利用IP地址的后半段做为
# tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 ht 2:7b: match ip src 1.2.0.123 flowid 1:1
# tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 ht 2:7b: match ip src 1.2.1.123 flowid 1:2
# tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 ht 2:7b: match ip src 1.2.3.123 flowid 1:3
# tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 ht 2:7b: match ip src 1.2.4.123 flowid 1:2
注:
这是第 123 项,包含了为 1.2.0.123、1.2.1.123、1.2.2.123 和 1.2.3.123 准备的匹配
规则,分别把它们发给 1:1、1:2、1:3 和 1:2。注意,我们必须用 16 进制来表示
散列表项,0x7b 就是 123
4.然后创建一个“散列过滤器”,直接把数据包发给散列表中的合适表项:
# tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 ht 800:: \
match ip src 1.2.0.0/16 \
hashkey mask 0x000000ff at 12 \
link 2:
注:
“800::” 这表示创建一个散列表,所有的过滤都将从这里开始.
at 12: 表示从IP头的第12位开始匹配 mask的长度, IP头的第12~15字节为源IP地址位.
”link 2:“ 表示匹配后,发送数据包发送到前面创建的第2个散列表项,即: 2:
IMQ(Intermediate queueing device: 中介队列设备)
若需要使用IMQ,需要对内核,netfilter,iptables打补丁后才能使用:
https://blog.csdn.net/dayancn/article/details/45871523
这篇文章详细讲解了如何给Linux-kernel2.6.18的内核打上IMQ补丁的详细步骤.
在Linux中由于队列规定只能附加到网卡上,因此有两个局限:
1. 虽可在入口做队列规定,但在上面实现分类队列规定可能性很小,所以相当于只支持出口整形.
2. 一个队列规定只能处理一个网卡流量,无法全局限速.
IMQ就是为解决这两个问题而诞生的,简单说: 你可往一个队列规定中放任何方向的流量, 我们可通过
iptables将打了特定标记的数据包在netfilter的NF_IP_PRE_ROUTING和NF_IP_POST_ROUTING两个
钩子函数处被拦截,并被送到附加在IMQ虚拟网卡上的队列规定中, 这样你就可对进入刚进入网卡的
数据包打上标记做入口整形,或把所有网卡当成一个个类来对待,做全局整形控制。
