https://opennet.dev/openforum/vsluhforumID1/93779.html Есть linux (пробовал ядра 2.6 и 3.2)<br>На нем 51 vlan интерфейс<br>50 смотрят на разные сети (пользователей), 52-й выход в внешний мир.<br>Имена имеют eth0.1001-eth0.1052<br><br>Делаю так<br># Удаление очередей<br>/sbin/tc qdisc del dev eth0.1001 ingress<br>/sbin/tc qdisc del dev eth0.1001 root handle 1:<br><br># Ограничение скорости отдачи<br>/sbin/tc qdisc add dev eth0.1001 root handle 1: htb default 10 r2q 1<br>/sbin/tc class add dev eth0.1001 parent 1: classid 1:10 htb rate 10mbit quantum 8000 burst 16k<br><br># Ограничение скорости загрузки<br>/sbin/tc qdisc add dev eth0.1001 handle ffff: ingress<br>/sbin/tc filter add dev eth0.1001 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 5mbit burst 16k drop flowid :1<br><br>Данный шейпер на интерфейсе eth0.1001 работает только в однй сторону - сторону исходящего трафика с итерфейса. Входящий он не ограничивает.<br><br>Попробовал более простой вариант - ограничить через дисциплину tbf<br>tc qdisc add dev eth0.1001 root tbf rate 4mbit burst 15kb latency 70ms peakrate 5mbit minbur https://opennet.dev/openforum/vsluhforumID1/93779.html#14 Wed, 17 Oct 2012 01:34:56 GMT &gt; Рассмотрим аксиому и "следствия".<br>&gt;&gt; 1) <br>&gt;&gt; входящий ВНЕШНИЙ трафик можно ПОПЫТАТЬСЯ ограничить ТОЛЬКО используя возможности сетевых <br>&gt;&gt; протоколов. над входящим трафиком Вы никакого контроля не имеете и можете <br>&gt;&gt; только попросить передающую сторону уменьшить скорость отправки данных.<br>&gt; Так какие там средства управления скоростью потока предоставляет IP-протокол?<br><br>никакую<br><br>&gt; Как в общем случае попросить уменьшить скорость отправки данных по UDP?<br><br>спросите у разработчиков uTorrent - они видимо ответ нашли)<br><br>&gt; Какими средствами Linux, не внося задержку в прохождение сквозь роутер входящих пакетов <br>&gt; потока (и, естественно, без их дропа), попросить уменьшить скорость отправки данных <br>&gt; по TCP?<br><br>окно.<br>и не факт , что Ваше пожелание будет адекватно обработано другой стороной (примеров в моей практике - туча).<br><br>Итого:<br>- Linux тут вообще по боку, как любая друга ОС.<br>- ТСП разве не сетеовй протокол (транспорт - да, но тем не менее)?<br><br>=&gt; с чем Вы не согласны?<br><br>&gt;&gt; 3) <br>&gt;&gt; шейпинг входящего тра https://opennet.dev/openforum/vsluhforumID1/93779.html#13 Tue, 02 Oct 2012 18:48:05 GMT Аналогичная проблема, решил так<br>ethtool ethX -K gro off<br><br> https://opennet.dev/openforum/vsluhforumID1/93779.html#12 Sun, 23 Sep 2012 05:44:35 GMT <br>Рассмотрим аксиому и "следствия".<br><br>&gt; 1) <br>&gt; входящий ВНЕШНИЙ трафик можно ПОПЫТАТЬСЯ ограничить ТОЛЬКО используя возможности сетевых <br>&gt; протоколов. над входящим трафиком Вы никакого контроля не имеете и можете <br>&gt; только попросить передающую сторону уменьшить скорость отправки данных.<br><br>Так какие там средства управления скоростью потока предоставляет IP-протокол?<br>Как в общем случае попросить уменьшить скорость отправки данных по UDP?<br><br>Какими средствами Linux, не внося задержку в прохождение сквозь роутер входящих пакетов потока (и, естественно, без их дропа), попросить уменьшить скорость отправки данных по TCP?<br><br><br>&gt; 3) <br>&gt; шейпинг входящего трафика актуален только в пределах ограниченной (читай локальной сети). <br><br>- Вы за всех решили, что кому актуально, а что нет?<br>- Наоборот, трафик внутри локальной сети /чаще всего/ ограничивать не требуется, пусть всё работает на маскимальной скорости, а вот "канал в мир" много уже, и требуется разграничить/приоритезировать доступ. <br><br> <br>&gt; 4) <br>&gt; шейпить надо и https://opennet.dev/openforum/vsluhforumID1/93779.html#11 Sun, 23 Sep 2012 05:22:25 GMT <br>В написанном есть какой-то практический смысл? Я его не нашел.<br><br>&gt; Контролировать приход ВНЕШНЕГО трафика этим средством не возможно - только рубить то, <br>&gt; что уже пришло. <br><br>Ну так цель-то не в проводокЕ до роутера скорость пакетов ограничить, а управлять скоростью обрабатываемого хостом/транзитного через роутер потока.<br><br>&gt;тогда проще это делать и ч/з пакетный фильтр. <br><br>Пакет. Пришел. Стал в очередь шейпера/полисера. Полисер выпустил пакет с задержкой/дропнул при переполнении. <br><br>Каким боком тут "пакетный фильтр" и как "проще" это через него сделать, поясните пожалуйста ваше утверждение.<br><br><br>&gt; а пытаться управлять внешним входящим трафиком можно только средствами протокола TCP <br>&gt; (в самом простом случае).<br><br>Поясните, пожалуйста, самый простой случай, _как_ на промежуточном роутере на линукс вы можете управлять трафиком протокола TCP средствами этого протокола.<br><br><br>Очень хочется прочитать ваши пояснения, иначе вышенаписанное сообщение не имеет никакого смысла и полностью бесполезно. Пустое сотрясени https://opennet.dev/openforum/vsluhforumID1/93779.html#10 Sat, 22 Sep 2012 20:05:23 GMT 1)<br>входящий ВНЕШНИЙ трафик можно ПОПЫТАТЬСЯ ограничить ТОЛЬКО используя возможности сетевых протоколов. над входящим трафиком Вы никакого контроля не имеете и можете только попросить передающую сторону уменьшить скорость отправки данных.<br><br>2) <br>смысла рубить невалидный пришедший трафик на шейпере нет (он уже пришел = канал загружен) <br><br>3) <br>шейпинг входящего трафика актуален только в пределах ограниченной (читай локальной сети). <br><br>4)<br>шейпить надо исходящий трафик. по Ломоносову: "Если где то убудет то в другом месте прибудет". входящее на одном интерфейсе = исходящее на другом.<br><br>1=аксиома, остальное следствия.<br><br>PS<br>все высказывания даны с точки зрения организации шлюза в инет.<br><br><br><br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/93779.html#9 Sat, 22 Sep 2012 19:54:09 GMT &gt;&gt;&gt;&gt;Для Вас возможно это будет неожиданностью но shaper linux ограничивает только исходящий трафик. А остальное достигается либо 2 сетевыми картами либо loopback интерфейсами.<br>&gt;&gt; Ну а если трафик исходит во внутреннюю сеть , то это уже <br>&gt;&gt; входящий трафик. Т. е. нужны две сетевые карты <br>&gt; Стоп. А vlan интерфейсы разве не являются с точки зрения системы половозрелыми <br>&gt; интерфейсами?<br><br>cat /proc/net/vlan/ваш_vlan<br><br>смотрим REORDER_HDR. если включен, то полноценным - иначе могут быть варианты.<br><br>&gt; Про loopback можно подробней?<br><br>можно. когда не было imq все делалось ч/з loopback ). <br><br>&gt; PS. Аналогичные правила на ppp интерфейсах работают на ура. Может на vlan <br>&gt; есть какие-то затыки? https://opennet.dev/openforum/vsluhforumID1/93779.html#8 Sat, 22 Sep 2012 19:36:10 GMT &gt;&gt; Для Вас возможно это будет неожиданностью но <br>&gt; Для Вас, возможно, это будет неожиданностью, но вы не внимательны.<br>&gt; Топикстартер знает про слово ingress, а вы, видимо, еще нет.<br><br>Фууу ). <br><br>Контролировать приход ВНЕШНЕГО трафика этим средством не возможно - только рубить то, что уже пришло. тогда проще это делать и ч/з пакетный фильтр. а пытаться управлять внешним входящим трафиком можно только средствами протокола TCP (в самом простом случае).<br><br>&gt;&gt; А остальное достигается либо 2 сетевыми картами либо loopback интерфейсами.<br>&gt; Но таки да, чаще всего делают именно так. Не сильно силен в <br>&gt; теме, но по loopback-интерфейсам ключевые слова: "imq", "ifb". https://opennet.dev/openforum/vsluhforumID1/93779.html#7 Mon, 17 Sep 2012 14:17:44 GMT &gt;&gt; включите шейпер на 52й влан(который в мир смотрит) <br>&gt; Да я уже сделал через фильтры на исходящих. Вопрос открытый - vlan <br>&gt; являются полноценныйми интерфейсами?<br><br>полноценными<br> https://opennet.dev/openforum/vsluhforumID1/93779.html#6 Mon, 17 Sep 2012 11:02:41 GMT &gt; включите шейпер на 52й влан(который в мир смотрит) <br><br>Да я уже сделал через фильтры на исходящих. Вопрос открытый - vlan являются полноценныйми интерфейсами?<br>