Linux如何限制单个IP的带宽

使用tc命令结合HTB算法可限制单个IP带宽，先清理旧规则，创建根qdisc和主class，再为特定IP创建子class并设置rate与ceil均为5mbit，最后通过u32过滤器匹配源/目的IP并将流量导向该class，实现上传和下载限速。

在linux环境下，要限制单个IP的带宽，最核心的工具就是

tc

（traffic control）。它允许我们对网络流量进行精细化管理，通过创建队列规则（qdisc）、分类（class）和过滤器（Filter），我们可以精确地控制特定IP地址的上传和下载速度。这通常涉及到Hierarchical Token Bucket (HTB) 或 Token Bucket Filter (TBF) 算法，其中HTB因其层次化的管理能力，在限制多个IP或服务时更为灵活。

解决方案

限制单个IP的带宽，我们通常会用到

tc

命令。以下是一个使用

HTB

（Hierarchical Token Bucket）算法来限制特定IP带宽的例子。这个方法相对灵活，可以设定上限和保证速率。

首先，确保你的系统上安装了

iproute2

包，

tc

命令是其中的一部分。

1. 清理旧的

   tc

   规则： 在开始配置之前，最好先清理掉网卡上可能存在的旧规则，避免冲突。

   sudo tc qdisc del dev eth0 root 2>/dev/NULL

   这里

   eth0

   是你的网络接口名，请根据实际情况替换。

   2>/dev/null

   是为了抑制错误输出，如果接口上没有规则，

   del

   命令会报错。

2. 创建根队列（Root Qdisc）： 我们为

   eth0

   接口创建一个HTB根队列。

   sudo tc qdisc add dev eth0 root handle 1: htb default 10

   • handle 1:

     给这个根队列一个句柄，方便后续引用。

   • HTB

     指定使用HTB算法。

   • default 10

     这是一个默认类别ID。任何未被明确分类的流量都将进入这个ID为10的类别。

3. 创建主类别（Main Class）： 在根队列下创建一个主类别，它代表了整个接口的可用带宽上限。比如，我们假设你的总带宽是100Mbps。

   sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit

   • parent 1:

     指明这个类别是根队列

     1:

     的子类别。

   • classid 1:1

     给这个类别一个ID。

   • rate 100mbit

     保证的速率。

   • ceil 100mbit

     允许的最大突发速率（上限）。这里设为一样，表示最大就是100Mbps。

4. 创建受限IP的子类别（Sub-Class for Limited IP）： 现在，我们为要限制的特定IP创建一个子类别。假设我们要限制IP

   192.168.1.100

   的下载（入站）和上传（出站）带宽为5Mbps。

   • 限制出站（上传）带宽：

     sudo tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbit ceil 5mbit

     这里

     classid 1:10

     是为

     192.168.1.100

     分配的类别ID。

     rate

     和

     ceil

     都设为5Mbps，表示其最大速度就是5Mbps。

   • 添加过滤器（Filter）： 将来自/去往

     192.168.1.100

     的流量导向到

     1:10

     这个类别。

     # 限制源IP为192.168.1.100的出站流量 sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip src 192.168.1.100/32 flowid 1:10 # 限制目的IP为192.168.1.100的出站流量 (虽然是出站，但可能需要限制从服务器发给这个IP的流量) sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip dst 192.168.1.100/32 flowid 1:10

     • protocol ip prio 1

       指定协议为IP，优先级为1。

     • u32

       这是一个强大的匹配器。

     • match ip src 192.168.1.100/32

       匹配源IP为

       192.168.1.100

       的流量。

     • match ip dst 192.168.1.100/32

       匹配目的IP为

       192.168.1.100

       的流量。

     • flowid 1:10

       将匹配到的流量导向到

       classid 1:10

       。

   关于入站（下载）带宽的限制：

   tc

   默认是在出站方向（egress）工作的。要限制入站（ingress）流量，你需要使用

   ingress qdisc

   ，或者更常见、更灵活的做法是在路由器/防火墙上（如果你的linux服务器是网关）对转发流量进行限制，或者在服务器上使用

   IMQ

   （Ingress Message Queue）或结合

   iptables

   的

   MARK

   标记来实现。对于单个服务器而言，直接限制出站是最直接的，而限制入站则需要更复杂的配置，比如：

   # 创建一个ingress qdisc sudo tc qdisc add dev eth0 handle ffff: ingress # 为ingress qdisc添加一个过滤器，将入站流量重定向到一个htb qdisc，然后进行限制 # 这部分配置会比出站复杂，通常需要将入站流量重新路由到一个虚拟设备或者使用IFB (Intermediate Functional Block) 设备。 # 鉴于文章目标是“直接输出解决方案”，这里不深入展开IMQ/IFB的复杂配置，只提示一下方向。 # 对于简单场景，很多时候我们只需要限制出站带宽，因为服务器通常是提供服务的，出站带宽更能体现其资源消耗。

   如果你确实需要限制下载，一个相对简单的思路是在上游路由器上进行配置，或者在Linux服务器作为网关时，对转发给该IP的流量进行出站限制。

5. 查看

   tc

   规则：

   sudo tc qdisc show dev eth0 sudo tc class show dev eth0 sudo tc filter show dev eth0

   通过这些命令，你可以检查你的规则是否生效以及统计信息。

tc

命令的那些坑：配置与调试的经验谈

说实话，

tc

这玩意儿，初次接触时简直是劝退神器。它的命令结构复杂，参数众多，而且一旦配置错误，网络可能瞬间瘫痪，或者根本不生效，让你抓耳挠腮。我记得有一次，为了给一个开发环境的数据库服务器限制一下上传带宽，防止它在跑备份时把整个测试网络的上行链路占满，我折腾了整整一个下午。

最大的坑点之一就是规则的瞬时性。你辛辛苦苦敲了一堆

tc

命令，测试通过了，结果服务器一重启，嘿，所有配置都没了！这可不是闹着玩的。所以，每次配置完，都得考虑怎么让它持久化。最常见的做法就是写一个shell脚本，放到

/etc/rc.local

里（如果系统还用的话），或者更现代的方式是创建一个

systemd

服务单元，在网络服务启动后执行这些

tc

命令。

Brizy

Brizy是一个面向机构和 SaaS 的白标网站生成器，可以在几分钟内创建网站页面。

166

查看详情

另一个让我头疼的是句柄（handle）和类别ID（classid）的对应关系。

1:

,

1:1

,

1:10

这些数字，看起来简单，但一旦层级多了，或者不小心弄混了父子关系，整个流量分类就乱套了。

HTB

的层次结构很强大，但这也意味着你需要非常清晰地规划你的带宽分配树。

rate

和

ceil

这两个参数也常常让人迷惑。

rate

是保证速率，

ceil

是上限速率。如果

rate

设得太高，或者

ceil

设得太低，都可能达不到预期效果。比如，你给一个IP设了

rate 1mbit ceil 5mbit

，意味着它至少能有1Mbps，但最高可以跑到5Mbps，前提是总带宽有富余。如果你想严格限制在5Mbps，那就得像我们上面那样，

rate

和

ceil

都设为5Mbps。

调试方面，

tc -s qdisc show

、

tc -s class show

和

tc -s filter show

是你的好朋友。

-s

参数会显示统计信息，比如有多少数据包通过了这个qdisc或class，这能帮你判断规则是否真的匹配到了流量。如果统计数字一直是零，那说明你的过滤器可能没生效，或者流量根本没经过你设定的接口。别忘了检查接口名称，

eth0

、

ens33

、

enp0s3

这些都可能。

我个人经验是，从最简单的规则开始，逐步增加复杂性。先只设一个根qdisc，再加一个主class，然后是子class和过滤器。每一步都用

tc show

命令检查，确保没有问题再进行下一步。如果直接复制粘贴一大段命令，一旦出错，排查起来会非常痛苦。

动态调整与监控：如何让带宽限制更智能？

静态的带宽限制虽然有效，但在很多场景下显得不够灵活。想象一下，如果某个IP平时流量不大，但偶尔需要突发性地传输大量数据，而你给他设了个死死的5Mbps上限，那用户体验肯定不好。这时候，我们就会思考，能不能让带宽限制变得更“智能”一些？

首先，监控是智能化的基础。你需要知道哪些IP或服务正在消耗大量带宽。

iftop

、

nload

、

vnstat

这些工具都是实时或历史带宽使用情况的优秀观察者。

iftop

能直接显示哪个IP地址正在进行大量的上传或下载，这对快速定位问题非常有用。

有了监控数据，我们就可以考虑动态调整

tc

规则了。这通常需要编写一些脚本。比如，你可以写一个bash脚本，每隔一分钟运行一次，它会：

1. 使用

   iftop -t -s 1 -L 1 -P

   这样的命令获取当前流量数据（

   -t

   文本模式，

   -s 1

   采样1秒，

   -L 1

   只显示一行，

   -P

   显示端口）。

2. 解析输出，找出当前带宽使用量最大的IP。
3. 根据预设的阈值，动态调整该IP的

   tc

   ceil

   值。例如，如果某个IP持续两分钟超过了某个阈值，就将其带宽上限降低；如果它持续五分钟低于某个阈值，就适当提高其上限。

这听起来有点像一个简单的流量整形器（traffic shaper）或负载均衡器在做的事情。实现这种动态调整，你需要熟练掌握

tc class change

命令，它可以修改现有类别的参数而不需要删除重建。

# 示例：动态调整某个IP的带宽上限 # 假设我们要将192.168.1.100的带宽上限调整为2mbit sudo tc class change dev eth0 parent 1:1 classid 1:10 htb rate 2mbit ceil 2mbit

当然，这种脚本的编写需要考虑很多细节，比如如何避免频繁地调整导致网络抖动，如何处理多个IP同时超标的情况，以及如何记录历史数据以进行更长期的分析。

更高级的解决方案可能会涉及到将

tc

与

iptables

的

MARK

功能结合。你可以使用

iptables

根据更复杂的条件（如端口、协议、连接状态等）来标记数据包，然后

tc

再根据这些标记将数据包分类到不同的HTB类别中。这样，你就可以实现基于应用层协议或服务类型的带宽限制，而不仅仅是基于IP地址。

总的来说，让带宽限制更智能，意味着从被动管理转向主动感知和动态响应。这不仅能优化网络资源分配，还能显著提升用户体验，避免因僵硬的策略而导致的性能瓶颈。不过，这需要对Linux网络栈有更深入的理解，并且愿意投入时间进行脚本开发和测试。