Linux如何限制单个IP的带宽

使用tc命令结合HTB算法可限制单个IP带宽，先清理旧规则，创建根qdisc和主class，再为特定IP创建子class并设置rate与ceil均为5mbit，最后通过u32过滤器匹配源/目的IP并将流量导向该class，实现上传和下载限速。

在Linux环境下，要限制单个IP的带宽，最核心的工具就是

tc

解决方案

限制单个IP的带宽，我们通常会用到

tc

HTB

首先，确保你的系统上安装了

iproute2

tc

1. 清理旧的

   tc

   登录后复制
   规则： 在开始配置之前，最好先清理掉网卡上可能存在的旧规则，避免冲突。

   sudo tc qdisc del dev eth0 root 2>/dev/null

   登录后复制

   这里

   eth0

   登录后复制
   是你的网络接口名，请根据实际情况替换。

   2>/dev/null

   登录后复制
   是为了抑制错误输出，如果接口上没有规则，

   del

   登录后复制
   命令会报错。

2. 创建根队列（Root Qdisc）： 我们为

   eth0

   登录后复制
   接口创建一个HTB根队列。

   sudo tc qdisc add dev eth0 root handle 1: htb default 10

   登录后复制

   • handle 1:

     登录后复制
     给这个根队列一个句柄，方便后续引用。

   • HTB

     登录后复制
     指定使用HTB算法。

   • default 10

     登录后复制
     这是一个默认类别ID。任何未被明确分类的流量都将进入这个ID为10的类别。

3. 创建主类别（Main Class）： 在根队列下创建一个主类别，它代表了整个接口的可用带宽上限。比如，我们假设你的总带宽是100Mbps。

   sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit

   登录后复制

   • parent 1:

     登录后复制
     指明这个类别是根队列

     1:

     登录后复制
     的子类别。

   • classid 1:1

     登录后复制
     给这个类别一个ID。

   • rate 100mbit

     登录后复制
     保证的速率。

   • ceil 100mbit

     登录后复制
     允许的最大突发速率（上限）。这里设为一样，表示最大就是100Mbps。

4. 创建受限IP的子类别（Sub-Class for Limited IP）： 现在，我们为要限制的特定IP创建一个子类别。假设我们要限制IP

   192.168.1.100

   登录后复制
   的下载（入站）和上传（出站）带宽为5Mbps。

   • 限制出站（上传）带宽：

     sudo tc class add dev eth0 parent 1:1 classid 1:10 htb rate 5mbit ceil 5mbit

     登录后复制

     这里

     classid 1:10

     登录后复制
     是为

     192.168.1.100

     登录后复制
     分配的类别ID。

     rate

     登录后复制
     和

     ceil

     登录后复制
     都设为5Mbps，表示其最大速度就是5Mbps。

   • 添加过滤器（Filter）： 将来自/去往

     192.168.1.100

     登录后复制
     的流量导向到

     1:10

     登录后复制
     这个类别。

     # 限制源IP为192.168.1.100的出站流量
     sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip src 192.168.1.100/32 flowid 1:10
     # 限制目的IP为192.168.1.100的出站流量 (虽然是出站，但可能需要限制从服务器发给这个IP的流量)
     sudo tc filter add dev eth0 protocol ip prio 1 u32 match ip dst 192.168.1.100/32 flowid 1:10

     登录后复制

     • protocol ip prio 1

       登录后复制
       指定协议为IP，优先级为1。

     • u32

       登录后复制
       这是一个强大的匹配器。

     • match ip src 192.168.1.100/32

       登录后复制
       匹配源IP为

       192.168.1.100

       登录后复制
       的流量。

     • match ip dst 192.168.1.100/32

       登录后复制
       匹配目的IP为

       192.168.1.100

       登录后复制
       的流量。

     • flowid 1:10

       登录后复制
       将匹配到的流量导向到

       classid 1:10

       登录后复制
       。

   关于入站（下载）带宽的限制：

   tc

   登录后复制
   默认是在出站方向（egress）工作的。要限制入站（ingress）流量，你需要使用

   ingress qdisc

   登录后复制
   ，或者更常见、更灵活的做法是在路由器/防火墙上（如果你的Linux服务器是网关）对转发流量进行限制，或者在服务器上使用

   IMQ

   登录后复制
   （Ingress Message Queue）或结合

   iptables

   登录后复制
   的

   MARK

   登录后复制
   标记来实现。对于单个服务器而言，直接限制出站是最直接的，而限制入站则需要更复杂的配置，比如：

   # 创建一个ingress qdisc
   sudo tc qdisc add dev eth0 handle ffff: ingress
   # 为ingress qdisc添加一个过滤器，将入站流量重定向到一个htb qdisc，然后进行限制
   # 这部分配置会比出站复杂，通常需要将入站流量重新路由到一个虚拟设备或者使用IFB (Intermediate Functional Block) 设备。
   # 鉴于文章目标是“直接输出解决方案”，这里不深入展开IMQ/IFB的复杂配置，只提示一下方向。
   # 对于简单场景，很多时候我们只需要限制出站带宽，因为服务器通常是提供服务的，出站带宽更能体现其资源消耗。

   登录后复制

   如果你确实需要限制下载，一个相对简单的思路是在上游路由器上进行配置，或者在Linux服务器作为网关时，对转发给该IP的流量进行出站限制。

5. 查看

   tc

   登录后复制
   规则：

   sudo tc qdisc show dev eth0
   sudo tc class show dev eth0
   sudo tc filter show dev eth0

   登录后复制

   通过这些命令，你可以检查你的规则是否生效以及统计信息。

tc

登录后复制

命令的那些坑：配置与调试的经验谈

说实话，

tc

最大的坑点之一就是规则的瞬时性。你辛辛苦苦敲了一堆

tc

/etc/rc.local

systemd

tc

表单大师AI

一款基于自然语言处理技术的智能在线表单创建工具，可以帮助用户快速、高效地生成各类专业表单。

74

查看详情

另一个让我头疼的是句柄（handle）和类别ID（classid）的对应关系。

1:

1:1

1:10

HTB

rate

ceil

rate

ceil

rate

ceil

rate 1mbit ceil 5mbit

rate

ceil

调试方面，

tc -s qdisc show

tc -s class show

tc -s filter show

-s

eth0

ens33

enp0s3

我个人经验是，从最简单的规则开始，逐步增加复杂性。先只设一个根qdisc，再加一个主class，然后是子class和过滤器。每一步都用

tc show

动态调整与监控：如何让带宽限制更智能？

静态的带宽限制虽然有效，但在很多场景下显得不够灵活。想象一下，如果某个IP平时流量不大，但偶尔需要突发性地传输大量数据，而你给他设了个死死的5Mbps上限，那用户体验肯定不好。这时候，我们就会思考，能不能让带宽限制变得更“智能”一些？

首先，监控是智能化的基础。你需要知道哪些IP或服务正在消耗大量带宽。

iftop

nload

vnstat

iftop

有了监控数据，我们就可以考虑动态调整

tc

1. 使用

   iftop -t -s 1 -L 1 -P

   登录后复制
   这样的命令获取当前流量数据（

   -t

   登录后复制
   文本模式，

   -s 1

   登录后复制
   采样1秒，

   -L 1

   登录后复制
   只显示一行，

   -P

   登录后复制
   显示端口）。
2. 解析输出，找出当前带宽使用量最大的IP。
3. 根据预设的阈值，动态调整该IP的

   tc

   登录后复制

   ceil

   登录后复制
   值。例如，如果某个IP持续两分钟超过了某个阈值，就将其带宽上限降低；如果它持续五分钟低于某个阈值，就适当提高其上限。

这听起来有点像一个简单的流量整形器（traffic shaper）或负载均衡器在做的事情。实现这种动态调整，你需要熟练掌握

tc class change

# 示例：动态调整某个IP的带宽上限
# 假设我们要将192.168.1.100的带宽上限调整为2mbit
sudo tc class change dev eth0 parent 1:1 classid 1:10 htb rate 2mbit ceil 2mbit

当然，这种脚本的编写需要考虑很多细节，比如如何避免频繁地调整导致网络抖动，如何处理多个IP同时超标的情况，以及如何记录历史数据以进行更长期的分析。

更高级的解决方案可能会涉及到将

tc

iptables

MARK

iptables

tc

总的来说，让带宽限制更智能，意味着从被动管理转向主动感知和动态响应。这不仅能优化网络资源分配，还能显著提升用户体验，避免因僵硬的策略而导致的性能瓶颈。不过，这需要对Linux网络栈有更深入的理解，并且愿意投入时间进行脚本开发和测试。

以上就是Linux如何限制单个IP的带宽的详细内容，更多请关注php中文网其它相关文章！