实战应用:使用Linux TC进行流量安全管理

安全
在Linux中流量控制器(TC)主要是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号的流量控制。流量控制器TC,其基本的功能模块为队列、分类和过滤器。

Linux从kernel 2.1.105开始支持QoS(服务质量),不过,需要重新编译内核。具体步骤为:

(1)运行 make config命令时,将EXPERIMENTAL_OPTIONS选项设置成y;

(2)将 Class Based Queueing (CBQ)、Token Bucket Flow、Traffic Shapers选项设置为y;

(3)运行make dep; make clean; make bzimage,生成新的内核。

在Linux中流量控制器(TC)主要是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号的流量控制。流量控制器TC,其基本的功能模块为队列、分类和过滤器。Linux内核中支持的队列有,Class Based Queue ,Token Bucket Flow ,CSZ ,First In First Out ,Priority ,TEQL ,SFQ ,ATM ,RED。由于目前网络流量种类繁多,网络管理员在管理时通常都采用分类的方式进行,因此,本文所介绍的队列与分类都是基于CBQ(Class Based Queue)的,而过滤器是基于路由(Route)的,其他的分类方式和过滤器使用方式请参看相关的技术文献。

配置和使用流量控制器TC,主要分以下几个方面:分别为建立队列、建立分类、建立过滤器和建立路由,另外还需要对现有的队列、分类、过滤器和路由进行监视。其基本使用步骤为:

(1)针对网络物理设备绑定一个CBQ队列;

(2)在该队列上建立分类;

(3)为每一分类建立一个基于路由的过滤器;

(4)最后与过滤器相配合,建立特定的路由表#p#

使用Linux TC进行流量控制实例

实例环境及拓扑

在一个局域网中(如图1所示),我们设定流量控制器上的以太网卡(设备名为eth0)的IP地址为10.172.4.66,在其上建立一个CBQ队列。假设包的平均大小为1K字节,包间隔发送单元的大小为8字节,可接收冲突的发送最长包数目为20字节。假如有三种类型的流量需要控制:

(1)发往主机1的流量,其IP地址设定为10.172.4.138。其流量带宽控制在500Mbit,优先级为2;

(2)是发往主机2的,其IP地址为10.172.4.141。其流量带宽控制在200Mbit,优先级为1;

(3)是发往子网1的,其子网号为10.172.4.0,子网掩码为255.255.255.0。流量带宽控制在300Mbit,优先级为6。

那么,根据上面的实例条件,我们可以采用如下的步骤进行TC配置和控制:

图1  Linux TC流量控制示意图

1.绑定CBQ队列

一般情况下,针对一个网卡只需建立一个队列:

将一个cbq队列绑定到网络物理设备eth0上,其编号为1:0;网络物理设备eth0的实际带宽为1000Mbit,包的平均大小为1000字节;包间隔发送单元的大小为8字节,最小传输包大小为64字节。

#tc qdisc add dev eth0 root handle 1: cbq bandwidth 1000Mbit avpkt 1000 cell 8 mpu 64

2.为队列建立分类

分类建立在队列之上。一般情况下,针对一个队列需建立一个根分类,然后再在其上建立子分类。对于分类,按其分类的编号顺序起作用,编号小的优先;一旦符合某个分类匹配规则,通过该分类发送数据包,则其后的分类不再起作用。

(1)创建根分类1:1;分配带宽为1000Mbit,优先级别为8。

#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 1000Mbit rate 1000Mbit maxburst 20 allot 1514 prio 8 avpkt 1000 cell 8 weight 100Mbit

该队列的最大可用带宽为1000Mbit,实际分配的带宽为1000Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为8,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为100Mbit。

(2)创建分类1:2,其父分类为1:1,分配带宽为500Mbit,优先级别为2。

#tc class add dev eth0 parent 1:1 classid 1:2 cbq bandwidth 1000Mbit rate 500Mbit maxburst 20 allot 1514 prio 2 avpkt 1000 cell 8 weight 50Mbit split 1:0 bounded

该队列的最大可用带宽为1000Mbit,实际分配的带宽为500Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为1,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为50Mbit,分类的分离点为1:0,且不可借用未使用带宽。

(3)创建分类1:3,其父分类为1:1,分配带宽为200Mbit,优先级别为1。

#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 1000Mbit rate 200Mbit maxburst 20 allot 1514 prio 1 avpkt 1000 cell 8 weight 20Mbit split 1:0

该队列的最大可用带宽为1000Mbit,实际分配的带宽为200Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为2,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为20Mbit,分类的分离点为1:0。

(4)创建分类1:4,其父分类为1:1,分配带宽为300Mbit,优先级别为6。

#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 1000Mbit rate 300Mbit maxburst 20 allot 1514 prio 6 avpkt 1000 cell 8 weight 30Mbit split 1:0

该队列的最大可用带宽为1000Mbit,实际分配的带宽为300Mbit,可接收冲突的发送最长包数目为20字节;最大传输单元加MAC头的大小为1514字节,优先级别为1,包的平均大小为1000字节,包间隔发送单元的大小为8字节,相应于实际带宽的加权速率为30Mbit,分类的分离点为1:0。#p#

3.建立过滤器

过滤器主要服务于分类。一般只需针对根分类提供一个过滤器,然后为每个子分类提供路由映射。

(1)应用路由分类器到cbq队列的根,父分类编号为1:0;过滤协议为ip,优先级别为100,过滤器为基于路由表。

#tc filter add dev eth0 parent 1:0 protocol ip prio 100 route

(2)建立路由映射分类1:2, 1:3, 1:4

#tc filter add dev eth0 parent 1:0 protocol ip prio 100 route to 2 flowid 1:2

#tc filter add dev eth0 parent 1:0 protocol ip prio 100 route to 3 flowid 1:3

#tc filter add dev eth0 parent 1:0 protocol ip prio 100 route to 4 flowid 1:4

4.建立与过滤器对应的路由

该路由是与前面所建立的路由映射一一对应。

1) 发往主机10.172.4.138的数据包通过分类2转发(分类2的速率500Mbit)

#ip route add 10.172.4.138 dev eth0 via 10.172.4.66 realm 2

2) 发往主机10.172.4.30的数据包通过分类3转发(分类3的速率200Mbit)

#ip route add 10.172.4.30 dev eth0 via 10.172.4.66 realm 3

3)发往子网10.172.4.0/24的数据包通过分类4转发(分类4的速率300Mbit)

#ip route add 10.172.4.0/24 dev eth0 via 10.172.4.66 realm 4

在配置路由时特别值得注意的是:一般对于流量控制器所直接连接的网段建议使用IP主机地址流量控制限制,不要使用子网流量控制限制。如一定需要对直连子网使用子网流量控制限制,则在建立该子网的路由映射前,需将原先由系统建立的路由删除,才可完成相应步骤。#p#

5.对上述建立的机制进行查看

主要包括对现有队列、分类、过滤器和路由的状况进行查看。

(1)显示队列的状况

简单显示指定设备(这里为eth0)的队列状况

#tc qdisc ls dev eth0

qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit

详细显示指定设备(这里为eth0)的队列状况

#tc -s qdisc ls dev eth0

qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit

Sent 7646731 bytes 13232 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 31 undertime 0

这里主要显示了通过该队列发送了13232个数据包,数据流量为7646731个字节,丢弃的包数目为0,超过速率限制的包数目为0。

(2)显示分类的状况

简单显示指定设备(这里为eth0)的分类状况

#tc class ls dev eth0

class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit

class cbq 1:1 parent 1: rate 10Mbit prio no-transmit #no-transmit表示优先级为8

class cbq 1:2 parent 1:1 rate 500Mbit prio 2

class cbq 1:3 parent 1:1 rate 200Mbit prio 1

class cbq 1:4 parent 1:1 rate 300Mbit prio 6

详细显示指定设备(这里为eth0)的分类状况

#tc -s class ls dev eth0

class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit

Sent 17725304 bytes 32088 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 31 undertime 0

class cbq 1:1 parent 1: rate 1000Mbit prio no-transmit

Sent 16627774 bytes 28884 pkts (dropped 0, overlimits 0)

borrowed 16163 overactions 0 avgidle 587 undertime 0

class cbq 1:2 parent 1:1 rate 500Mbit prio 2

Sent 628829 bytes 3130 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 4137 undertime 0

class cbq 1:3 parent 1:1 rate 200Mbit prio 1

Sent 0 bytes 0 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 159654 undertime 0

class cbq 1:4 parent 1:1 rate 300Mbit prio 6

Sent 5934679 bytes 9354 pkts (dropped 0, overlimits 0)

borrowed 3797 overactions 0 avgidle 159557 undertime 0

这里主要显示了通过不同分类发送的数据包,数据流量,丢弃的包数目,超过速率限制的包数目等等。其中根分类(class cbq 1:0)的状况应与队列的状况类似。

例如,分类class cbq 1:4发送了9354个数据包,数据流量为5934679个字节,丢弃的包数目为0,超过速率限制的包数目为0。

(3)显示过滤器的状况

#tc -s filter ls dev eth0

filter parent 1: protocol ip pref 100 route

filter parent 1: protocol ip pref 100 route fh 0xffff0002 flowid 1:2 to 2

filter parent 1: protocol ip pref 100 route fh 0xffff0003 flowid 1:3 to 3

filter parent 1: protocol ip pref 100 route fh 0xffff0004 flowid 1:4 to 4

这里flowid 1:2代表分类class cbq 1:2,to 2代表通过路由2发送。

(4)显示现有路由的状况

#ip route

10.172.4.66 dev eth0 scope link

10.172.4.138 via 10.172.4.66 dev eth0 realm 2

10.172.4.30 via 10.172.4.66 dev eth0 realm 3

10.172.4.0/24 via 10.172.4.66 dev eth0 realm 4

10.172.4.0/24 dev eth0 proto kernel scope link src 10.172.4.66

172.16.1.0/24 via 10.172.4.66 dev eth0 scope link

127.0.0.0/8 dev lo scope link

default via 10.172.4.254 dev eth0

#p#

6.队列、分类、过滤器及路由维护

上面我们通过一个完整的例子示意了使用Linux的TC进行流量控制的全过程。不难看出,该技术主要包括如上步骤。而在日常的网络管理过程中,网管员还需要对TC的队列、分类、过滤器和路由进行相应的增添、修改和删除等操作,以保证流量控制能够因时、因地、因应用制宜。可能用到的相应的命令如下所示:

tc class add命令:添加分类;

tc class change命令:修改分类;

tc filter add命令:添加过滤器;

tc filter change命令:修改过滤器;

tc filter del命令:删除过滤器;

ip route add命令:添加与过滤器对应的路由;

ip route change命令:修改与过滤器对应的路由;

ip route del命令:删除与过滤器对应的路由。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2010-06-04 11:21:42

Linux 流量控制

2010-06-13 13:34:47

Linux 流量控制

2010-05-27 09:17:44

Linux网络流量

2010-03-22 21:06:35

2022-05-04 11:10:58

Linuxdnf 命令

2022-05-07 11:08:50

Linuxapt 命令

2021-08-05 11:30:49

Linux渗透测试

2012-11-29 09:59:02

网络流量网络安全

2010-06-04 10:35:25

Linux 网络流量

2023-10-31 09:22:49

Linux系统

2020-06-15 19:20:00

AppImageLinux软件包管理

2009-02-10 15:08:41

2010-06-17 17:00:07

Linux流量控制

2022-09-26 14:24:18

Linux网络流量审计

2023-12-25 07:46:35

GatewayAPI开源

2011-03-31 13:40:36

MRTGsquid流量

2011-03-31 13:40:48

2011-03-31 14:28:15

2022-09-01 13:12:53

LinuxTC网络限流

2010-05-27 11:03:44

Linux流量控制
点赞
收藏

51CTO技术栈公众号