Linux TC(Traffic Control)框架原理解析

近日的工作多多少少和Linux的流控有点关系,自打几年前知道有TC这么一个玩意儿并且多多少少理解了它的原理之后,我就没有再动过它,因为我不喜欢TC命令行,实在是太繁琐了,iptables命令行也比较繁琐,但是比TC命令行直观,而TC命令行则太过于技术化。也许是我对TC框架没有对Netfilter框架理解深刻吧,也许是的。iptables/Netfilter对应的就是tc/TC。
       Linux内核内置了一个Traffic Control框架,可以实现流量限速,流量整形,策略应用(丢弃,NAT等)。从这个框架你能想到别的什么吗?或许现在不能,但是我会先简单说一下,和TC框架比较相似的是Netfilter框架,但是二者却又有很大的不同。
       在精通了Netfilter框架之后,再来体会TC框架会简单得多,特别是,当你觉得Netfilter具有这样那样的局限时,带着这些问题去体会TC框架的设计,你可能会发现,TC在某些方面弥补了Netfilter的不足。在具体深入到细节前,我先来介绍一下二者的相同点以及因其初衷不同而导致设计的大相径庭。
       先说Netfilter,无疑这个框架被设计用来在网络协议栈的内核路径上过滤数据包,就像在一条路上的关卡一样,Netfilter在协议栈处理网络数据包的路径上的5个位置设置了这样的关卡,一个数据包在被处理的路径上经过这些关卡被检查,结果就是若干个动作:接受,丢弃,排队,导入其它路径等,框架只需针对一个数据包得出一个结果即可,关卡内部提供什么服务在Netfilter框架中并没有任何规定。
       现在我们看TC,它旨在对数据包或者数据流提供一种服务,比如限速,整形等,而这并不是一个类似Netfilter的结果可以表达的,提供这些服务需要执行一系列的动作,因此如何来“规划和组织这些动作的执行”是TC框架设计的关键!也就是说,TC框架关注的是如何执行而不是仅仅想要得到一个要执行的动作。换句话说,Netfilter框架关键做什么,而TC框架关注怎么做。(关于Netfilter我已经写了大量的代码和文章,不再赘述了...)
       有关限速,流量整形方面的理论已经很多了,比较常见的比如使用令牌桶,但是本文关注的是Linux对TC框架的实现而不是令牌桶算法相关的内容,然而在一篇短文中又不可能详细描述从流量控制理论到各种操作系统版本实现的历史,但是我们知道,使用队列是大多数实现中实际的选择,那么现在问题来了,Linux的TC框架是如何组织队列的。在详细深入讨论队列组织之前,我最后一次比较一下Netfilter和TC。
       如果你知道UNIX的字符设备和块设备之间的区别,那么理解Netfilter框架和TC框架之间的区别就比较容易了。Netfilter的一个HOOK点类似一个管道字符设备,而skb就是这个设备中的单向字符流,一般都是按照从一端流入,然后按照进入的顺序从另一端流出,附带一个结果,比如ACCEPT,DROP等。而TC框架比较类似一个块设备,对内容进行随机存储和随机访问,即skb进入的顺序并不一定是skb出来的顺序,而这正是流量整形需要做的。也就是说,TC框架必须实现一个随机访问的数据包存储缓冲区,在这个缓冲区中进行流量控制,当然,我们已经知道,这是由队列实现的。
       当然,任何事情都不是绝对的,Netfilter的一个HOOK点也可以有存储缓冲区或者执行一系列的动作,典型的就是conntrack中的分片重组以及NAT功能,对于PREROUTING这个HOOK点的分片重组,无疑对于分片而言,只是进入HOOK,暂时保存在里面,直到所有分片都来了切重组成功后才一次性流出这个HOOK点,而对于NAT而言,Netfilter的处理结果无疑是“执行了一系列的动作”而不仅仅是ACCEPT。此外,我也写过一些模块,用Netfilter来实现流量控制,反过来,TC框架也可以实现Netfilter的功能,总之,当你理解了这些框架的设计原则以及其本质后,在使用和扩展上,你就可以庖丁解牛,游刃有余了。
       个人觉得,对于单独的一个Netfilter HOOK点,TC框架是其超集,实现上更加灵活,当然也就更加复杂。Netfilter所拥有的TC不具备的魅力在于其HOOK点位置的定义。
       好了,现在开始正式介绍TC框架的设计。
       很多网上搜到的资料在介绍TC的时候,无一例外地介绍了TC是由“队列规程,类别,过滤器”三者组成的,大多数含糊不清,我敢说这些都是出自一篇文档或者一本书。很少有人从另外一个角度去理解TC框架的设计,而这本身就是一个比较有挑战性的事,我个人比较喜欢这种事情。在介绍TC的队列组织之前,我先来介绍一下什么叫作递归控制,所谓的递归控制就是分层次地控制,而对于每个层次,控制方式都是一致的。熟悉CFS调度的都知道,对于组调度和task调度都采用了完全相同的调度方式,然而显然组和task是属于不同层次的,我画了下面一张图来简单描述这种情况:




不光是控制逻辑的组织,就连Linux在实现UNIX进程模型时,也采用了这种树形的递归控制逻辑,每一个层次都是一个两层的树,下图展示了这个模型:




可以看出,递归控制是分形的,如果能用立体的图展示会更好些,对于上图而言,除了叶子节点之外的每一个节点都是一颗独立的小树,不管是大树还是小树,对于控制逻辑或者组织逻辑而言,其性质是完全一样的。
       递归的控制便于控制逻辑的任意叠加,这个我们在协议栈的设计中看到过,比如X over Y,简称XoY,比如PPPoE,IP over UDP(tun模式的OpenVPN),TCP over IP(原生的TCP/IP栈)...对于TC而言,考虑下面一个需求:
1.将整个带宽按照2:3的比例分给TCP和UDP;
2.在TCP流量中,按照源IP地址段将其划分为不同的优先级;
3.在相同的优先级队列中,按照2:8的比例将带宽分给HTTP应用和其它;
4....

从以上需求可以看出,这是一个递归控制的需求,其中1和3均使用了带宽比例分配,但是显而易见,这是属于不同层次的。整个架构看起来应该是下面这个样子:




但是事情远非想象的那个单纯,虽然上面的图已经让你看出了TC框架的端倪,然而对于实现它却没有一点帮助。几个典型的问题摆在那里,你怎么甄别数据包到不同的队列,图中的非叶子节点要呈现成什么数据结构,既然不是真正的队列却又要有队列的行为,那么如何表达它们?...
       Linux在实现TC的时候,对“队列”进行了抽象,基本上它维护了两个回调函数指针,一个是enqueue入队操作,一个是dequeue出队操作。不管是enqueue还是dequeue,都并不一定真正将数据包排入队列,而仅仅是“执行一系列的操作”。这个“执行一系列的操作”可以是:
1.对于叶子节点,真正排入一个真实的队列或者从真正的队列拉出一个数据包;
2.递归调用其它抽象队列的enqueue/dequeue。

注意上面的第2点,提到了“其它抽象队列”,那么如何来定位这个抽象队列呢?这就需要一个抉择,也就是一个选择器,根据数据包的特征来将数据包归入一个抽象队列,这个时候,TC的设计框图可以用下图来表达:




可以看到,我并没有用那个经典的“队列规程,类别,过滤器”三元组来定义TC框架,而是用一种递归控制的意义来解释。如果用经典三元组来套在这幅图上,就会是下面这个样子,注意,我删去了不必要的文字,这样图不至于太过混乱,需要文字的请参考上图:




可见,万变不离其衷或者说英雄所见略同。
       好了,现在说点题外话,还是和Netfilter有关的,当然不是它和TC的比较,而是我个人的一点想法。曾几何时,我十分推崇Cisco的ACL,应为它们是应用于网卡接口的,而Netfilter则是拦截在处理路径上而不是处理设备上,对于Netfilter而言,处理设备只是一个毫无特殊之处的match,不管有无关系,所有的数据包均要经过Netfilter HOOK点的抉择,起码你要判断它是否匹配-i ethX...我想在net_device上挂一个filter_list,也写过一些代码,发现效果比较好,准备采用。我是一个经常重复造轮子的人,当我后来看了TC的实现后,发现TC框架正是我想要找的,于是我放言,能用Netfilter实现的,用TC也一样能实现。并且,TC基于队列规程(数据结构字段正是这么写,Qdisc-queue discipline,这并非受经典三元组表达法的影响)的,抽象的入队/出队并没有规定如何实现,且队列规程和网卡绑定(更精确地说是网卡的队列-如果网卡支持多队列的话)而不是拦截在处理路径上。于是我有两种选择:
1.实现一个新的Qdisc,其内置一个简单的FIFO队列,enqueue操作进行从Netfilter移植过来的matches/target,所有ACCEPT的数据包排入FIFO;
2.在分类器上做文章,是否将数据包归于一个类别不光要看数据包的特征,还要额外执行一个action回调函数,只有该函数返回0才代表成功,而既然作为回调,你便可以在其中进行任何action(drop,nat等),关起门来lualu。

以上1和2中,第2点已经实现了,第一点很容易实现,你只需要实现一个队列规程即可,或者说为每一个队列规程都加一个action,看上去如下图所示:




对于第2点,比较简单,其本质就是在那个菱形中做文章,放大后的菱形如下图所示:




这样就用TC框架实现了防火墙的功能以及NAT的功能,这是我一直以来的愿望。其实我早就知道这件事,只是我不太喜欢TC的命令,因为它配置起来太技术化了,维护起来极其困难,甚至比iptables规则维护起来都困难,而维护是超级重要的,它甚至比你想到如何书写这个规则更重要,因为如何书写是一瞬间的事,如果你有足够的积累,那么一瞬间你就能搞定,如果你碰到了难题,敢说灵感的显现也是一瞬间的,比如酒后,但是维护却是长久的事,且维护的人不一定是你自己,你必须要为别人考虑,因为技术社会是利他的社会。
       好了,到此为止,相信我已经把该说的都说了,都是框架性的,没有任何细节在里面,虽然不太喜欢TC命令行,但是我还是希望最后用一幅图展示一下每一条TC命令和内核数据结构的关系,依然是没有细节,命令也不全,省略了match,因为我知道那些不重要:




看我的文章,你可能很难得到那种复制了之后直接粘贴上就能用的东西,代码省略了,命令省略了,就算是我自己,在看到自己多年前写的东西时,十分想快速运行点什么,但是没有这样的东西。可是我觉得,思想大于实现,如果你理解了实现背后或者现实背后的本质,那么你就会得心应手,游刃有余。
### 回答1: 为了保证网络的质量和性能,网络流量控制是至关重要的一环。而在Linux系统中,一个强大而又实用的流量控制工具就是tc命令。tcTraffic Control的缩写,具有高度的可定制性和灵活性,可以轻松地对本地以及远程网络流量进行管理和控制,在网络带宽有限的情况下,实现对不同类型流量的优先级控制和限制。 tc的基本原理是基于网络包的分类和标记。当网络流量通过设备时,tc根据设定的规则将流量拆分为不同的类别,并分别设置相应的规则和限制参数。这些参数包括带宽、延迟、延迟抖动、丢包率等。同时,tc还支持多种类型的队列 (FIFO、SFQ、HTB 等)。不同类型的队列可以根据规则在相应的时间段内进行数据的整流、传输和分配,从而保证带宽分配的公平性和稳定性。而通过设置分类和标记策略,可以使不同流量类型的带宽分配更加精细和灵活,从而改善网络传输效率和用户体验。 要使用tc命令,我们需要先安装iproute2软件包。然后,通过tc命令行选项来设置规则和限制参数。主要步骤包括:创建qdisc(队列),创建class(分类),设置filters (过滤器)等。在实际应用中,我们需要根据网络要求,合理设计并设置规则和限制参数,以达到最优网络流量控制的效果。 总之,tc是一个非常重要和实用的流量控制工具,对于网络工程师和系统管理员来说绝对是必备的技能。通过深入了解tc原理和使用方法,能够更加有效地解决网络拥塞、带宽限制等问题,提高网络性能和可靠性。而相应的pdf资料,也可以更有针对性地辅助我们实现更好的流量控制效果。 ### 回答2: nux流控是通过Linux系统提供的Traffic ControlTC)工具进行设置和配置的,以实现对数据流量的管控和限制。主要应用场景是在网络拥塞或带宽受限的情况下,为了保证高优先级业务的正常运行,对低优先级业务进行限速、限制和优化。 TC命令是Traffic Control的缩写,它可以对网络传输过程中的数据包进行处理和转发。通过设置TC规则,可以对网络各类数据流量进行分类、过滤、限制和重定向。在这里我们用一张图来描述Linux TC工具的架构和作用方式: ![TC工具架构图.png](https://i.loli.net/2021/08/19/fHaWFNnzulP2Uwt.png) 从上面这张图可以看到,TC命令涉及到以下几个重要概念和组件: 1. 类别(Class):根据不同的业务需求,将网络流量分成多个不同的类别,如VoIP、视频、文件传输等。 2. 过滤器(Filter):对流经网络接口的数据包进行过滤,根据不同的需求将其分发到不同的类别。 3. 排队器(Queue):对单个类别内的数据包进行排队和缓存,通过不同的算法和方式保证高优先级流量优先得到传输。 4. 操作符(Action):影响某一个类别内数据包的传输、延迟、丢失等行为。 在TC命令中,最常用的参数包括“qdisc”和“class”,分别表示队列和分类。其中,qdisc主要管理队列的行为,包括先进先出(FIFO)、加权公平队列(WFQ)、不可抗拒队列(DRR)等;而class则是设置不同数据流的优先级、带宽、延迟、丢包等参数。 除了上面提到的常用参数外,还有一些其他常见参数: 1. Limit:队列的容量限制,以防止流量超载。 2. Rate:带宽的速率限制,可以限制每一个类别的带宽限制。 3. Delay:延迟的设置,用于保证高优先级数据的实时性。 4. Jitter:设置数据包的延迟抖动范围,以达到更好的网络服务质量。 在Linux TC的流控体系中,QoS(Quality of Service)质量级别服务是非常重要的一环。QoS是一种以数据流量为中心的网络服务质量方案,也是TC工具设置中最为复杂和关键的一部分。通过QoS对网络中的数据流进行分类、策略和管理,以确保业务的高效稳定运行。 以上为简单介绍了Linux TC流控和QoS方面的一些基本原理。如果想要学习更详细的操作方法和技巧,可以参考TC命令的官方手册或其他相关资料。 ### 回答3: "Nux流控tc设置"是一个基于Linux操作系统的流量控制工具,它使用tc命令进行配置和管理。TCTraffic Control)是Linux内核提供的一种网络流量控制机制,它可以通过限制网络包的传输速度、优先级和服务质量(QoS)等方式,来实现网络带宽的增加、减少和分配等。 TC命令需要使用终端来执行,其基本语法结构为“tc qdisc/ class/filte/subcomand”,其中qdisc表示队列结构,class表示分级结构,filter表示过滤器,subcommand则表示子命令。在使用TC命令时,需要了解各个参数所代表的意义,以及流控原理和QoS技术的应用。 为了更好地应用TC命令,需要对其背后的流控原理和QoS技术进行了解和掌握。流控原理是指通过对流量进行分类、分级和标记,从而实现对网络带宽的分配和限制。QoS技术是指通过设置网络服务质量策略,对不同类型的网络流量进行分类和优化,从而识别高优先级的流量,保证其稳定和可靠的传输。 TC命令的设置和管理需要安装nux流控软件,可以通过pdf文档来进行学习和掌握。在学习过程中,需要针对不同的环境和需求,进行TC命令的灵活设置和管理,从而实现对网络流量的全面控制和优化。最终达到提高网络带宽利用率、减少拥堵和提升用户体验等目的。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值