Linux TC流量安全管理如何监控?

来源:CIO时代网   
2012/12/6 17:43:46
使用Linux TC进行流量安全管理如何现有队列、分类、过滤器和路由的状况进行查看?

本文关键字: Linux TC 流量安全管理

使用Linux TC进行流量安全管理如何现有队列、分类、过滤器和路由的状况进行查看?

(1)显示队列的状况

简单显示指定设备(这里为eth0)的队列状况

#tc qdisc ls dev eth0

qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit

详细显示指定设备(这里为eth0)的队列状况

#tc -s qdisc ls dev eth0

qdisc cbq 1: rate 1000Mbit (bounded,isolated) prio no-transmit

Sent 7646731 bytes 13232 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 31 undertime 0

这里主要显示了通过该队列发送了13232个数据包,数据流量为7646731个字节,丢弃的包数目为0,超过速率限制的包数目为0.

(2)显示分类的状况

简单显示指定设备(这里为eth0)的分类状况

#tc class ls dev eth0

class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit

class cbq 1:1 parent 1: rate 10Mbit prio no-transmit #no-transmit表示优先级为8

class cbq 1:2 parent 1:1 rate 500Mbit prio 2

class cbq 1:3 parent 1:1 rate 200Mbit prio 1

class cbq 1:4 parent 1:1 rate 300Mbit prio 6

详细显示指定设备(这里为eth0)的分类状况

#tc -s class ls dev eth0

class cbq 1: root rate 1000Mbit (bounded,isolated) prio no-transmit

Sent 17725304 bytes 32088 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 31 undertime 0

class cbq 1:1 parent 1: rate 1000Mbit prio no-transmit

Sent 16627774 bytes 28884 pkts (dropped 0, overlimits 0)

borrowed 16163 overactions 0 avgidle 587 undertime 0

class cbq 1:2 parent 1:1 rate 500Mbit prio 2

Sent 628829 bytes 3130 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 4137 undertime 0

class cbq 1:3 parent 1:1 rate 200Mbit prio 1

Sent 0 bytes 0 pkts (dropped 0, overlimits 0)

borrowed 0 overactions 0 avgidle 159654 undertime 0

class cbq 1:4 parent 1:1 rate 300Mbit prio 6

Sent 5934679 bytes 9354 pkts (dropped 0, overlimits 0)

borrowed 3797 overactions 0 avgidle 159557 undertime 0

这里主要显示了通过不同分类发送的数据包,数据流量,丢弃的包数目,超过速率限制的包数目等等。其中根分类(class cbq 1:0)的状况应与队列的状况类似。

例如,分类class cbq 1:4发送了9354个数据包,数据流量为5934679个字节,丢弃的包数目为0,超过速率限制的包数目为0.

(3)显示过滤器的状况

#tc -s filter ls dev eth0

filter parent 1: protocol ip pref 100 route

filter parent 1: protocol ip pref 100 route fh _0xffff0002 flowid 1:2 to 2

filter parent 1: protocol ip pref 100 route fh _0xffff0003 flowid 1:3 to 3

filter parent 1: protocol ip pref 100 route fh _0xffff0004 flowid 1:4 to 4

这里flowid 1:2代表分类class cbq 1:2,to 2代表通过路由2发送。

(4)显示现有路由的状况

#ip route

10.172.4.66 dev eth0 scope link

10.172.4.138 via 10.172.4.66 dev eth0 realm 2

10.172.4.30 via 10.172.4.66 dev eth0 realm 3

10.172.4.0/24 via 10.172.4.66 dev eth0 realm 4

10.172.4.0/24 dev eth0 proto kernel scope link src 10.172.4.66

172.16.1.0/24 via 10.172.4.66 dev eth0 scope link

127.0.0.0/8 dev lo scope link

default via 10.172.4.254 dev eth0

队列、分类、过滤器及路由维护

上面我们通过一个完整的例子示意了使用Linux的TC进行流量控制的全过程。不难看出,该技术主要包括如上步骤。而在日常的网络管理过程中,网管员还需要对TC的队列、分类、过滤器和路由进行相应的增添、修改和删除等操作,以保证流量控制能够因时、因地、因应用制宜。可能用到的相应的命令如下所示:

tc class add命令:添加分类;

tc class change命令:修改分类;

tc filter add命令:添加过滤器;

tc filter change命令:修改过滤器;

tc filter del命令:删除过滤器;

ip route add命令:添加与过滤器对应的路由;

ip route change命令:修改与过滤器对应的路由;

ip route del命令:删除与过滤器对应的路由。

 

责编:chrislee2012
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918