Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
Linux Bant Genişliği Yönetimi Serkan Kenar <serkan@labristeknoloji.com>
2
İçerik Trafik Kontrolü Trafik Kontrolü Linux Araçları Linux Araçları iproute2, tc iproute2, tc Kuyruklama Düzenleri Kuyruklama Düzenleri HTB, TBF, SFQ HTB, TBF, SFQ Gelişmiş Kullanım Örnekleri Gelişmiş Kullanım Örnekleri Hazır Paketler Hazır Paketler
3
Trafik Kontrolü Ağ trafiğinin kontrol edilebilmesi amacıyla Ağ trafiğinin kontrol edilebilmesi amacıyla önceliklerin belirlenmesi, önceliklerin belirlenmesi, gecikmelerin azaltılması, gecikmelerin azaltılması, performansın iyileştirilmesi, performansın iyileştirilmesi, bant genişliğinin sınırlandırılması veya garanti edilmesi işlemlerine trafik kontrolü denir. bant genişliğinin sınırlandırılması veya garanti edilmesi işlemlerine trafik kontrolü denir. QoS: Servis Kalitesi, farklı bağlantı türlerine farklı seviyelerde kalite tanımlamalarının yapılabilmesidir. QoS: Servis Kalitesi, farklı bağlantı türlerine farklı seviyelerde kalite tanımlamalarının yapılabilmesidir.
4
QoS Uygulamaları FTP: gecikmeler önemsiz, ama hızlı olmalı. FTP: gecikmeler önemsiz, ama hızlı olmalı. Sesli görüşmeler (VoIP): gecikme, görüşme kalitesini düşürür. Sesli görüşmeler (VoIP): gecikme, görüşme kalitesini düşürür. SSH ve Telnet: Küçük paketler ama etkileşim gerektirdiğinde hızlı tepki alınabilmelidir. SSH ve Telnet: Küçük paketler ama etkileşim gerektirdiğinde hızlı tepki alınabilmelidir. Paket kaybına dirençsiz protokollere öncelik verilmeli. Paket kaybına dirençsiz protokollere öncelik verilmeli.
5
Neden gerekli? Trafik önceliklerin belirlenmesi gerektiğinde Trafik önceliklerin belirlenmesi gerektiğinde Kullanım, mevcut bant genişliği kapasitesinin üzerindeyse Kullanım, mevcut bant genişliği kapasitesinin üzerindeyse Kullanıcılar kaynakları kötüye kullanıyorsa Kullanıcılar kaynakları kötüye kullanıyorsa Kurumsal hizmetlerin kalitesinin sağlanması isteniyorsa Kurumsal hizmetlerin kalitesinin sağlanması isteniyorsa Gecikmeye duyarlı hizmetlerin kalitesi yükseltilmek isteniyorsa Gecikmeye duyarlı hizmetlerin kalitesi yükseltilmek isteniyorsa
6
Servis Kalitesi Kavramları Gecikme: Paketlerin gidiş-gelişlerde geçen süre Gecikme: Paketlerin gidiş-gelişlerde geçen süre Jitter: Gecikme süresinin zaman içinde değişiklik göstermesi Jitter: Gecikme süresinin zaman içinde değişiklik göstermesi Paket Kayıpları: Ağ üzerinde birikmeler nedeniyle oluşabilecek paket kayıpları Paket Kayıpları: Ağ üzerinde birikmeler nedeniyle oluşabilecek paket kayıpları
7
Kuyruklar Trafik kontrolünün temeli ağ geçitleri üzerindeki kuyruklardır. Trafik kontrolünün temeli ağ geçitleri üzerindeki kuyruklardır. Geliş hızı, iletim hızını geçtiğinde, paketler kuyrukta bekletilir. Geliş hızı, iletim hızını geçtiğinde, paketler kuyrukta bekletilir. Kuyruk dolduğunda paketler düşürülür. Kuyruk dolduğunda paketler düşürülür.
8
Akış İki makine arasındaki ilgili trafiğe akış denir. İki makine arasındaki ilgili trafiğe akış denir. TCP ve UDP bağlantıları birer akış oluşturur. TCP ve UDP bağlantıları birer akış oluşturur. Birden çok akış tek noktada bant genişliğini paylaşırlar. Birden çok akış tek noktada bant genişliğini paylaşırlar.
9
Trafik Kontrol İşlemleri Trafik Kontrol İşlemleri Şekillendirme: Bağlantı hızını belirlemek için paketlerin bekletilmesi Şekillendirme: Bağlantı hızını belirlemek için paketlerin bekletilmesi Zamanlama: Paketlerin giriş/çıkış sırasının değiştirilmesi Zamanlama: Paketlerin giriş/çıkış sırasının değiştirilmesi Sınıflandırma: Paketlerin farklı kuyruklara sınıflandırılması Sınıflandırma: Paketlerin farklı kuyruklara sınıflandırılması Policing: Bağlantının kısıtlanması amacıyla sınırı aşan trafiğin düşürülmesi Policing: Bağlantının kısıtlanması amacıyla sınırı aşan trafiğin düşürülmesi
10
İçerik Trafik Kontrolü Trafik Kontrolü Linux Araçları Linux Araçları iproute2, tc iproute2, tc Kuyruklama Düzenleri Kuyruklama Düzenleri HTB, TBF, SFQ HTB, TBF, SFQ Gelişmiş Kullanım Örnekleri Gelişmiş Kullanım Örnekleri Hazır Paketler Hazır Paketler
11
Linux Araçları Trafik Kontrolü, çoğu dağıtım çekirdeğinde hazır olarak gelir. Trafik Kontrolü, çoğu dağıtım çekirdeğinde hazır olarak gelir. “tc” komutuyla yönetilebilir. “tc” komutuyla yönetilebilir. iproute2 projesiyle ağ yapılandırması ve bant genişliği yönetimi yapılabilir. iproute2 projesiyle ağ yapılandırması ve bant genişliği yönetimi yapılabilir. linux-net.osdl.org/index.php/Iproute2 linux-net.osdl.org/index.php/Iproute2
12
Giriş Çıkış Kuyruğ u Yönlendirm e IP Yığıtı policing sınıflandırma şekillendirme Yerel Programla r Sınıf 1:10 Sınıf 1:20 Sınıf 1:30 Çekirdek
13
TC Komutu Kullanım: Kullanım: tc SEÇENEKLER NESNE { İŞLEM | help } tc SEÇENEKLER NESNE { İŞLEM | help } tc qdisc { add | del | replace | change | get } dev... tc qdisc { add | del | replace | change | get } dev... tc class { add | del | change | get } dev... tc class { add | del | change | get } dev... tc filter { add | del | change | get } dev... tc filter { add | del | change | get } dev...
14
QDisc Kuyruklama düzenleri paketlerin nasıl işleneceğini belirleyen algoritmalardır. Kuyruklama düzenleri paketlerin nasıl işleneceğini belirleyen algoritmalardır. Bazı qdisc'ler paketleri geldikleri sırayla gönderirken, bazıları hiyerarşik bir yapı kurulmasına olanak sağlayacak kadar karmaşıklaşabilir. Bazı qdisc'ler paketleri geldikleri sırayla gönderirken, bazıları hiyerarşik bir yapı kurulmasına olanak sağlayacak kadar karmaşıklaşabilir.
15
Sınıflar Sınıflı kuyruklama düzenlerinde yer alan kuyruklardır. Sınıflı kuyruklama düzenlerinde yer alan kuyruklardır. Farklı sınıflar barındırabilir veya bir kuyruk düzeni içerip ayrılan trafiğin yönetilmesine olanak sağlar. Farklı sınıflar barındırabilir veya bir kuyruk düzeni içerip ayrılan trafiğin yönetilmesine olanak sağlar.
16
Filtreler Trafiğin çeşitli eşleşme kurallarıyla seçilerek bir sınıfa yönlendirilmesini sağlar. (Sınıflandırma işlemi) Trafiğin çeşitli eşleşme kurallarıyla seçilerek bir sınıfa yönlendirilmesini sağlar. (Sınıflandırma işlemi) Policing kalıpları da barındırarak hızı belirlenebilir. Policing kalıpları da barındırarak hızı belirlenebilir. Paket önce kök qdisc'e ait filtrelerden geçer, sonra alt sınıfların filtrelerinden de geçebilir. Paket önce kök qdisc'e ait filtrelerden geçer, sonra alt sınıfların filtrelerinden de geçebilir.
17
İçerik Trafik Kontrolü Trafik Kontrolü Linux Araçları Linux Araçları iproute2, tc iproute2, tc Kuyruklama Düzenleri Kuyruklama Düzenleri HTB, TBF, SFQ HTB, TBF, SFQ Gelişmiş Kullanım Örnekleri Gelişmiş Kullanım Örnekleri Hazır Paketler Hazır Paketler
18
Kuyruklama Düzenleri (qdisc) Tüm çıkış arabirimleri bir qdisc'e sahiptir. Tüm çıkış arabirimleri bir qdisc'e sahiptir. Sadece çıkan trafik düzenlenebilir. Sadece çıkan trafik düzenlenebilir. Sınıfsız qdisc'ler ile trafik sınıflandırılmadan yönetilebilir. Sınıfsız qdisc'ler ile trafik sınıflandırılmadan yönetilebilir. Sınıflı qdisc'ler ile farklı kuyruklarda farklı kuyruklama disiplinleri kullanılabilir. Sınıflı qdisc'ler ile farklı kuyruklarda farklı kuyruklama disiplinleri kullanılabilir.
19
Kuyruklama Düzenleri Sınıfsız Kuyruklama Düzenleri: Sınıfsız Kuyruklama Düzenleri: FIFO FIFO PFIFO_Fast PFIFO_Fast SFQ SFQ ESFQ ESFQ TBF TBF Sınıflı Kuyruklama Düzenleri Sınıflı Kuyruklama Düzenleri HTB HTB CBQ CBQ
20
FIFO İlk Gelen İlk Çıkar İlk Gelen İlk Çıkar En hızlı, en az CPU harcayan yöntem En hızlı, en az CPU harcayan yöntem Sınıflarda başka bir qdisc tanımlanıncaya kadar öntanımlı olarak FIFO kullanılır. Sınıflarda başka bir qdisc tanımlanıncaya kadar öntanımlı olarak FIFO kullanılır.
21
PFIFO_Fast Tüm arabirimlerde öntanımlı qdisc olarak kullanılır. Tüm arabirimlerde öntanımlı qdisc olarak kullanılır. 3 farklı önceliğe sahip bantlar üzerinde paketler dağıtılır. 3 farklı önceliğe sahip bantlar üzerinde paketler dağıtılır.
22
Servis Tipleri Asgari gecikme (Interaktif) 0. Bant Asgari gecikme (Interaktif) 0. Bant Normal Servis veya Azami Güvenilir (En iyi çaba)1. Bant Normal Servis veya Azami Güvenilir (En iyi çaba)1. Bant Asgari Maddi Harcama veya Azami Hız 2. Bant Asgari Maddi Harcama veya Azami Hız 2. Bant
23
SFQ ve ESFQ Farklı bağlantı akışlarına eşit davranılmaya çalışılır. Farklı bağlantı akışlarına eşit davranılmaya çalışılır. Tek bir bağlantının, bağlı bulunduğu sınıfı tamamen tüketmesi engellenir. Tek bir bağlantının, bağlı bulunduğu sınıfı tamamen tüketmesi engellenir.
24
SFQ Tanımlama tc qdisc add dev eth0 root sfq \ perturb 10 tc qdisc add dev eth0 root sfq \ perturb 10 10 saniyede bir bağlantılar tekrar dağıtılmaya başlanır. 10 saniyede bir bağlantılar tekrar dağıtılmaya başlanır.
25
TBF Bir arayüzden geçen trafiğin hızını kısıtlamak için idealdir. Bir arayüzden geçen trafiğin hızını kısıtlamak için idealdir. Hızı belirlenmiş seviyeye paketleri bekleterek düşürür. Hızı belirlenmiş seviyeye paketleri bekleterek düşürür.
26
TBF Tanımlama tc qdisc add dev eth0 root tbf \ rate 0.5mbit \ burst 5kb \ latency 70ms tc qdisc add dev eth0 root tbf \ rate 0.5mbit \ burst 5kb \ latency 70ms
27
CBQ – HTB CBQ: Karmaşık, doğru şekilde ayarlaması zor ve eski CBQ: Karmaşık, doğru şekilde ayarlaması zor ve eski HTB: Basitçe ayarlanabilir, varsayılan davranışları daha mantıklıdır. Muhtemelen ilk seferde doğru şekilde ayarlayabilirsiniz! HTB: Basitçe ayarlanabilir, varsayılan davranışları daha mantıklıdır. Muhtemelen ilk seferde doğru şekilde ayarlayabilirsiniz! CBQ, algoritması nedeniyle çoğunlukla doğru ölçüm yapamaz ve başarımı düşüktür. CBQ, algoritması nedeniyle çoğunlukla doğru ölçüm yapamaz ve başarımı düşüktür.
28
HTB Hiearcy Token Bucket Hiearcy Token Bucket CBQ'nun yerine kolay anlaşılır bir alternatif olarak geliştirilmiştir. CBQ'nun yerine kolay anlaşılır bir alternatif olarak geliştirilmiştir. Hattınızın çıkış trafiğini sınıflara ayırarak kontrol etmenize olanak sağlar. Hattınızın çıkış trafiğini sınıflara ayırarak kontrol etmenize olanak sağlar. TBF algoritmasına benzer bir algoritma kullanır. TBF algoritmasına benzer bir algoritma kullanır.
29
Sınıflar Sınıflar sadece sınıflı qdisc'lerde bulunur. Sınıflar sadece sınıflı qdisc'lerde bulunur. Bir sınıf başka sınıflar içerebilir veya tek bir qdisc ile sonlanır. Bir sınıf başka sınıflar içerebilir veya tek bir qdisc ile sonlanır. Her sınıfa filtreler bağlanır. Filtreler ile ilgili sınıfa aktarılacak olan trafik belirlenir. Her sınıfa filtreler bağlanır. Filtreler ile ilgili sınıfa aktarılacak olan trafik belirlenir. Uç sınıflar öntanımlı FIFO ile sonlanır. Uç sınıflar öntanımlı FIFO ile sonlanır.
30
Sınıflar (2)
31
Sınıflandırma HTB sınıflandırması sadece kök qdisc üzerindeki filtrelerle yapılır. HTB sınıflandırması sadece kök qdisc üzerindeki filtrelerle yapılır. Paketler sınıflandırılmaya kökten başlar. Aktarıldıkları sınıfta Paketler sınıflandırılmaya kökten başlar. Aktarıldıkları sınıfta a) filtreler çalıştırılır ve başka sınıfa aktarılır, b) sınıf uç noktaysa, paket o sınıfa eklenir. Sınıfa bağlı filtrelerle işlem baştan devam eder.
32
HTB QDisc Kök kuyruklama düzeni parametleri: Kök kuyruklama düzeni parametleri: handle, Bu kuyruklama düzeninin ismi handle, Bu kuyruklama düzeninin ismi parent, Bu kuyruklama düzeninin üst-sınıfı parent, Bu kuyruklama düzeninin üst-sınıfı default, sınıflandırılmamış trafiğin gönderileceği çocuk sınıf default, sınıflandırılmamış trafiğin gönderileceği çocuk sınıf tc qdisc add dev eth0 root \ handle 1: htb default 10 tc qdisc add dev eth0 root \ handle 1: htb default 10
33
parent major:minor; sınıfın üst-sınıfı parent major:minor; sınıfın üst-sınıfı classid major:minor; sınıf ismi classid major:minor; sınıf ismi prio öncelik; sınıfın önceliği (düşük sayı daha yüksek öncelik belirtir.) prio öncelik; sınıfın önceliği (düşük sayı daha yüksek öncelik belirtir.) rate hız; bu sınıfa ve alt sınıflarına garanti edilen hız rate hız; bu sınıfa ve alt sınıflarına garanti edilen hız ceil tavan; üst sınıfın boş bant genişliğinden kullanılabilecek tavan sınır. (Öntanımlı olarak hıza eşitttir.) ceil tavan; üst sınıfın boş bant genişliğinden kullanılabilecek tavan sınır. (Öntanımlı olarak hıza eşitttir.) HTB Sınıfları (1)
34
HTB Sınıfları (2) burst sıçrama; azami hızda gönderilecek bayt miktarı burst sıçrama; azami hızda gönderilecek bayt miktarı cburst sıçrama; sonsuz hızda gönderilecek bayt miktarı cburst sıçrama; sonsuz hızda gönderilecek bayt miktarı tc class add dev eth0 parent 1: classid 1:1 htb rate 100kbit burst 1k tc class add dev eth0 parent 1: classid 1:1 htb rate 100kbit burst 1k
35
Örnek Yapılandırma tc qdisc add dev eth0 root handle 1: htb default 10 tc qdisc add dev eth0 root handle 1: htb default 10 tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbit burst 10k tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbit burst 10k tc class add dev eth0 parent 1:1 classid 1:10 htb rate 10kbit ceil 10mbit burst 10k tc class add dev eth0 parent 1:1 classid 1:10 htb rate 10kbit ceil 10mbit burst 10k tc class add dev eth0 parent 1:1 classid 1:20 htb rate 6mbit burst 15k tc class add dev eth0 parent 1:1 classid 1:20 htb rate 6mbit burst 15k tc class add dev eth0 parent 1:1 classid 1:30 htb rate 4mbit ceil 10mbit burst 15k tc class add dev eth0 parent 1:1 classid 1:30 htb rate 4mbit ceil 10mbit burst 15k
36
Örnek Yapılandırma (2) qdisc 1: sınıf 1:30 sınıf 1:1 sınıf 1:10 sınıf 1:20 10kbit Varsayılan 6mbit web 4mbit mail 10mbit Sınıflara öntanımlı olarak FIFO qdisc'i eklenir. Henüz filtreleri tanımlamadık. Tüm trafik 1:10'dan geçecek.
37
Uç Sınıflar HTB ile birlikte öntanımlı FIFO kuyruklama düzenini kullanmak iyi performans vermeyebilir. HTB ile birlikte öntanımlı FIFO kuyruklama düzenini kullanmak iyi performans vermeyebilir. SFQ daha iyi bir tercih olacaktır: SFQ daha iyi bir tercih olacaktır: tc qdisc add dev eth0 parent \ 1:10 handle 10: sfq perturb 10
38
Filtreler Örnek yapılandırmamızı tamamlayalım: Örnek yapılandırmamızı tamamlayalım: tc filter add dev eth0 protocol ip \ parent 1:0 prio 1 \ u32 match ip sport 80 0xffff \ flowid 1:20 tc filter add dev eth0 protocol ip \ parent 1:0 prio 1 \ u32 match ip sport 80 0xffff \ flowid 1:20 tc filter add dev eth0 protocol ip \ parent 1:0 prio 1 \ u32 match ip sport 25 0xffff \ flowid 1:30 tc filter add dev eth0 protocol ip \ parent 1:0 prio 1 \ u32 match ip sport 25 0xffff \ flowid 1:30
39
Filtreler (2) Trafiği sınıflandırmak için filtreler kullanılır. Trafiği sınıflandırmak için filtreler kullanılır. HTB kullanırken tüm filtreler kök sınıfa eklenmelidir. HTB kullanırken tüm filtreler kök sınıfa eklenmelidir. Kullanım: Kullanım: tc filter add dev parent protocol ip prio tc filter add dev parent protocol ip prio Eşleşme metodu: u32 ve fwmark Eşleşme metodu: u32 ve fwmark
40
Eşleşme Metodu: u32 Adrese göre filtreleme: Adrese göre filtreleme: tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 \ match ip dst 1.2.3.4/32 flowid 1:10 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 \ match ip dst 1.2.3.4/32 flowid 1:10 Porta göre filtreleme: Porta göre filtreleme: match ip dport 22 0xffff flowid 1:20 match ip dport 22 0xffff flowid 1:20 Protokole göre filtreleme: Protokole göre filtreleme: match ip protocol 50 0xff flowid 1:30 match ip protocol 50 0xff flowid 1:30
41
Eşleşme Metodu: fwmark U32 ile eşleştirme kısıtlayıcı olabilir. Netfilter/Iptables ile paketler işaretlenebilir ve fwmark metoduyla eşleştirilebilir: U32 ile eşleştirme kısıtlayıcı olabilir. Netfilter/Iptables ile paketler işaretlenebilir ve fwmark metoduyla eşleştirilebilir: # iptables -A PREROUTING -t mangle -o eth0 - p tcp --dport 22 -j MARK --set-mark 23 # tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 23 fw flowid 1:20
42
HTB – Bağlantı Paylaşımı Sık istenen bir durum, sınıfların kullanmadığı bant genişliğinin paylaşılabilmesidir. Sık istenen bir durum, sınıfların kullanmadığı bant genişliğinin paylaşılabilmesidir. Örnekte sınıfları köke doğrudan eklemeden, farklı bir sınıfa ekledik. Örnekte sınıfları köke doğrudan eklemeden, farklı bir sınıfa ekledik. HTB bu durumda üst-sınıfın kullanılmayan bant genişliğini oranları nispetinde diğer sınıflara paylaştırır. HTB bu durumda üst-sınıfın kullanılmayan bant genişliğini oranları nispetinde diğer sınıflara paylaştırır.
43
Bağlantı Paylaşımı A sınıfı: 100kbit - 100kbit A sınıfı: 100kbit - 100kbit a sınıfı: 30kbit – 100kbit a sınıfı: 30kbit – 100kbit b sınıfı: 20kbit – 100kbit b sınıfı: 20kbit – 100kbit c sınıfı: 50kbit – 100kbit c sınıfı: 50kbit – 100kbit c sınıfının kullanılmayan bant genişliği a ve b sınıfların oranları nispetinde paylaştırılır: (3:2) c sınıfının kullanılmayan bant genişliği a ve b sınıfların oranları nispetinde paylaştırılır: (3:2)
44
En iyi Kullanım Uygulamaları Etkileşimli trafiği hızlandırmak Etkileşimli trafiği hızlandırmak ACK paketlerini önceliklendirmek ACK paketlerini önceliklendirmek Yüklü gönderim sırasında, indirmelerin etkilenmemesi için Yüklü gönderim sırasında, indirmelerin etkilenmemesi için Gelen trafiği kısıtlamak (!) Gelen trafiği kısıtlamak (!) Vardığı anda, zaten bant genişliği harcanmıştır. Düşürülürse tekrar gönderilmesi gerekecek. Vardığı anda, zaten bant genişliği harcanmıştır. Düşürülürse tekrar gönderilmesi gerekecek.
45
Etkileşimli Trafiği Hızlandırmak SSH gibi etkileşim gerektiren trafiğin hızlı akması istenir. SSH gibi etkileşim gerektiren trafiğin hızlı akması istenir. Bu tür trafiği öncelikli ve garantili bir sınıfa aktarmalıyız. Bu tür trafiği öncelikli ve garantili bir sınıfa aktarmalıyız. tc filter add dev eth0 protocol ip parent 1:0 prio 10 u32 \ match ip tos 0x10 0xff flowid 1:10 tc filter add dev eth0 protocol ip parent 1:0 prio 10 u32 \ match ip tos 0x10 0xff flowid 1:10
46
ACK Paketlerini Önceliklendirmek Her gelen paketi doğrulamak için ACK gönderilir. Her gelen paketi doğrulamak için ACK gönderilir. Eğer gönderim yüklüyse, ağ geçidi üzerinde ACK paketleri gecikebilir veya düşürülebilir. Eğer gönderim yüklüyse, ağ geçidi üzerinde ACK paketleri gecikebilir veya düşürülebilir. tc filter add dev eth0 parent 1: protocol ip prio 10 u32 \ match ip protocol 6 0xff \ match u8 0x05 0x0f at 0 \ match u16 0x0000 0xffc0 at 2 \ match u8 0x10 0xff at 33 \ flowid 1:10(Öncelikli sınıf) tc filter add dev eth0 parent 1: protocol ip prio 10 u32 \ match ip protocol 6 0xff \ match u8 0x05 0x0f at 0 \ match u16 0x0000 0xffc0 at 2 \ match u8 0x10 0xff at 33 \ flowid 1:10(Öncelikli sınıf)
47
Gelen Trafiği Durdurmak Çoğunlukla gelen trafiğin kısıtlanması tercih edilmez. Çoğunlukla gelen trafiğin kısıtlanması tercih edilmez. Gelen trafiği belli bir hıza kısıtlamak için: Gelen trafiği belli bir hıza kısıtlamak için: tc qdisc add dev eth0 handle ffff: ingress tc qdisc add dev eth0 handle ffff: ingress tc filter add dev eth0 parent ffff: protocol ip prio 10 \ u32 match ip src 0.0.0.0/0 police \ rate 256kbit burst 10k drop flowid :1 tc filter add dev eth0 parent ffff: protocol ip prio 10 \ u32 match ip src 0.0.0.0/0 police \ rate 256kbit burst 10k drop flowid :1
48
Kurallar, Tavsiyeler Trafik şekillendirme yapacak olan ağ geçidi, hattın darboğaz noktası olmalıdır. Trafik şekillendirme yapacak olan ağ geçidi, hattın darboğaz noktası olmalıdır. Sadece gönderilen trafik şekillendirilebilir. Gelen trafik sadece düşürülebilir. Sadece gönderilen trafik şekillendirilebilir. Gelen trafik sadece düşürülebilir. Sınıflarda öntanımlı FIFO kullanılır. HTB ile birlikte SFQ kullanılması tavsiye edilir. Sınıflarda öntanımlı FIFO kullanılır. HTB ile birlikte SFQ kullanılması tavsiye edilir.
49
Kurallar, Tavsiyeler (2) Bant genişliğinin bilinmediği durumlarda HTB kullanılabilir. Bant genişliğinin bilinmediği durumlarda HTB kullanılabilir. Trafiği sınıflandırmak için Netfilter/Iptables ve fwmark ile eşleştirmeyi tercih edin. Trafiği sınıflandırmak için Netfilter/Iptables ve fwmark ile eşleştirmeyi tercih edin. Her bir IP adresine belirli bir bant genişliği ayırmak için, aynı sayıda sınıf tanımlanmalıdır. Her bir IP adresine belirli bir bant genişliği ayırmak için, aynı sayıda sınıf tanımlanmalıdır.
50
Kurallar, Tavsiyeler (3) LAN'daki kullanıcıların indirme hızlarını düşürmek için, ağ geçidi üzerinde iç bacaktaki arayüzden makineye giden trafikte şekillendirme yapılmalıdır. LAN'daki kullanıcıların indirme hızlarını düşürmek için, ağ geçidi üzerinde iç bacaktaki arayüzden makineye giden trafikte şekillendirme yapılmalıdır.
51
İçerik Trafik Kontrolü Trafik Kontrolü Linux Araçları Linux Araçları iproute2, tc iproute2, tc Kuyruklama Düzenleri Kuyruklama Düzenleri HTB, TBF, SFQ HTB, TBF, SFQ Gelişmiş Kullanım Örnekleri Gelişmiş Kullanım Örnekleri Hazır Paketler Hazır Paketler
52
Gelişmiş Kullanım Örnekleri Iptables ile gelişmiş eşleşmeler yapılabilir. Iptables ile gelişmiş eşleşmeler yapılabilir. Bu sayede kullanıcılara göre (UNIX kullanıcı ID’si), çalışan uygulamalara göre filtreleme yapılabilir. Bu sayede kullanıcılara göre (UNIX kullanıcı ID’si), çalışan uygulamalara göre filtreleme yapılabilir. P2P trafiğini kısıtlamak. P2P trafiğini kısıtlamak. SYN Flood saldırılarını engellemek için trafik kontrolü kullanılabilir. SYN Flood saldırılarını engellemek için trafik kontrolü kullanılabilir.
53
Programların Hızını Kısıtlamak Yazılımların gönderim veya indirim için hız kısıtlaması özelliği olmadığı durumlarda kullanılabilir. Yazılımların gönderim veya indirim için hız kısıtlaması özelliği olmadığı durumlarda kullanılabilir. iptables -t mangle -I POSTROUTING --m pid --pid 1182 -j MARK --set-mark 1 iptables -t mangle -I POSTROUTING --m pid --pid 1182 -j MARK --set-mark 1 Pid:1182 sürecin paketlerini işaretledik Pid:1182 sürecin paketlerini işaretledik Bu paketler fwmark ile kısıtlı bir sınıfa yönlendirilebilir. Bu paketler fwmark ile kısıtlı bir sınıfa yönlendirilebilir.
54
P2P Trafiğini Engellemek ipp2p eşleşmesi kullanılarak, P2P trafiği kısıtlı bir sınıfa aktarılabilir. ipp2p eşleşmesi kullanılarak, P2P trafiği kısıtlı bir sınıfa aktarılabilir. iptables -t mangle -A PREROUTING \ -p tcp -m ipp2p --ipp2p \ -j MARK --set-mark 1 iptables -t mangle -A PREROUTING \ -p tcp -m ipp2p --ipp2p \ -j MARK --set-mark 1
55
SYN Flood Saldırılarını Engellemek Gelen trafiği durdurmak için giriş (ingress) trafiğine kısıtlama getirilmelidir. Gelen trafiği durdurmak için giriş (ingress) trafiğine kısıtlama getirilmelidir. tc qdisc add dev eth0 handle ffff: ingress tc qdisc add dev eth0 handle ffff: ingress tc filter add dev eth0 parent ffff: protocol ip prio 50 handle 1 fw \ police rate 1kbit burst 40 mtu 9k drop flowid :1 tc filter add dev eth0 parent ffff: protocol ip prio 50 handle 1 fw \ police rate 1kbit burst 40 mtu 9k drop flowid :1
56
İçerik Trafik Kontrolü Trafik Kontrolü Linux Araçları Linux Araçları iproute2, tc iproute2, tc Kuyruklama Düzenleri Kuyruklama Düzenleri HTB, TBF, SFQ HTB, TBF, SFQ Gelişmiş Kullanım Örnekleri Gelişmiş Kullanım Örnekleri Hazır Paketler Hazır Paketler
57
Hazır Paketler ADSL bağlantılar için standart bir betik: lartc.org/wondershaper/ ADSL bağlantılar için standart bir betik: lartc.org/wondershaper/ Kolay HTB kullanımı için hazır betik: sourceforge.net/projects/htbinit/ Kolay HTB kullanımı için hazır betik: sourceforge.net/projects/htbinit/
58
Sonuç Bant genişliği yönetimi, büyük ağlarda ve kısıtlı kaynaklarda kaçınılmazdır. Bant genişliği yönetimi, büyük ağlarda ve kısıtlı kaynaklarda kaçınılmazdır. Linux bunun için gerekli tüm araçları barındıran güçlü bir çözüm sunar. Linux bunun için gerekli tüm araçları barındıran güçlü bir çözüm sunar.
59
Kaynaklar www.lartc.org www.lartc.org Traffic Control HOWTO Traffic Control HOWTO lartc Mail Listesi lartc Mail Listesi
60
Teşekkürler Sorular ?
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.