TC+IPTables实现下载和上传带宽限制脚本

### TC+IPTables 实现下载和上传带宽限制脚本详解 #### 一、概述 在 Linux 系统中，网络流量控制是一项重要的系统管理任务。通过对带宽进行合理分配和限制，可以有效地提高网络资源的利用率，保障关键业务的服务质量（QoS）。本文将深入分析如何使用 `tc`（Traffic Control）结合 `iptables` 来编写一个脚本，实现对下载和上传带宽的精确控制。 #### 二、核心概念与原理 ##### 1. **tc (Traffic Control)** - **定义**：`tc` 是 Linux 内核提供的用于网络流量控制的工具。 - **功能**： - 设置带宽限制 - 优先级控制 - 流量整形等 ##### 2. **IPTables** - **定义**：`iptables` 是用于配置、维护和检查 Linux 内核中的 IP 包过滤规则表的一个工具。 - **功能**： - 数据包过滤 - 地址转换（NAT） - 基于策略的路由 ##### 3. **cbq (Class Based Queuing)** - **定义**：`cbq` 是 `tc` 中的一种队列机制，能够支持复杂的服务质量（QoS）策略，如带宽限制、优先级设置等。 - **特点**： - 支持多级层次结构 - 可以设定每个类别的带宽和优先级 #### 三、脚本解析 ##### 1. **脚本配置参数** - **变量定义**： - `DOWNLOAD`: 下载带宽限制（示例中为 800 Kbps） - `UPLOAD`: 上传带宽限制（示例中为 160 Kbps） - `INET`: IP 地址前缀（示例中为 192.168.0） - `IPS` 和 `IPE`: IP 地址范围（示例中为 1 至 253） - `ServerIP`: 服务器 IP 地址（示例中为 254） - `IDEV`: 输入设备接口名（示例中为 eth0） - `ODEV`: 输出设备接口名（示例中为 ppp0） ##### 2. **清除旧配置** - **命令解析**： - `tc qdisc del dev $IDEV root handle 10`: 删除输入设备的根队列 - `tc qdisc del dev $ODEV root handle 20`: 删除输出设备的根队列 ##### 3. **创建 cbq 队列** - **命令解析**： - `tc qdisc add dev $IDEV root handle 10 cbq bandwidth 100Mbit avpkt 1000`: 在输入设备上添加根 cbq 队列 - `tc qdisc add dev $ODEV root handle 20 cbq bandwidth 1Mbit avpkt 1000`: 在输出设备上添加根 cbq 队列 ##### 4. **设置 class 类别** - **命令解析**： - `tc class add dev $IDEV parent 100 classid 101 cbq bandwidth 100Mbit rate 100Mbit allot 1514 weight 1Mbit prio 8 maxburst 20 avpkt 1000`: 为输入设备添加一个类别 - `tc class add dev $ODEV parent 200 classid 201 cbq bandwidth 1Mbit rate 1Mbit allot 1514 weight 10Kbit prio 8 maxburst 20 avpkt 1000`: 为输出设备添加一个类别 ##### 5. **设置优先级和限制** - **命令解析**： - `tc class add dev $IDEV parent 101 classid 1010 cbq bandwidth 100Mbit rate 95Mbit allot 1514 weight 20Kbit prio 5 maxburst 20 avpkt 1000 bounded`: 为输入设备设置下载限制 - `tc qdisc add dev $IDEV parent 1010 sfq quantum 1514 bperturb 15`: 使用 sfq 队列进行公平排队 - `tc filter add dev $IDEV parent 100 protocol ip prio 50 u32 match ip src $INET$ServerIP flowid 1010`: 匹配特定源 IP 的数据包 ##### 6. **循环处理 IP 范围** - **命令解析**： - `tc class add dev $IDEV parent 101 classid 101$COUNTER cbq bandwidth 100Mbit rate $DOWNLOAD allot 1514 weight 20Kbit prio 5 maxburst 20 avpkt 1000 bounded`: 为每个 IP 设置下载限制 - `tc qdisc add dev $ODEV parent 201$COUNTER sfq quantum 1514 bperturb 15`: 使用 sfq 队列进行公平排队 - `tc filter add dev $ODEV parent 200 protocol ip prio 100 handle $COUNTER fw classid 201$COUNTER`: 匹配特定目的 IP 的数据包 #### 四、脚本执行逻辑 - 脚本首先删除已存在的 tc 配置。 - 创建 cbq 队列作为根队列，并为输入输出设备分别创建类别。 - 对特定 IP 地址设置下载和上传的带宽限制。 - 通过循环处理 IP 范围内的地址，确保每个地址都有相应的带宽限制配置。 - 特殊处理指定 IP 地址（例如 192.168.0.78），为其设置单独的带宽限制。 #### 五、应用场景 - **企业网络管理**: 控制员工上网行为，保障关键业务的网络资源。 - **家庭网络**: 限制 P2P 下载软件的带宽占用，避免影响其他应用的正常使用。 - **数据中心**: 对不同服务进行带宽分配，优化整体网络性能。 #### 六、注意事项 - 确保有足够的权限执行 tc 和 iptables 命令。 - 根据实际需求调整带宽限制值。 - 监控网络性能，及时调整配置。 通过以上详细解析，我们可以看到 `tc` 结合 `iptables` 能够非常灵活地实现复杂的带宽限制和优先级控制。这对于提高网络服务质量、优化网络资源分配具有重要意义。