首先，我們來看一下tc，TC（Traffic Control）命令，是linux自帶的告警流控命令。Linux操作系統中的流量控制器TC（Traffic Control）用於Linux內核的流量控制，主要是通過在輸出端口處建立一個隊列來實現流量控制。一般只能限制網卡發送的數據包，不能限制網卡接收的數據包，所以可以通過改變發送次序來控制傳輸速率。Linux流量控制主要是在輸出接口排列時進行處理和實現的。

限速場景，需要對當前設備的發包做限制。（其實本來想在接收包時做限制，但是tc只能對發包限制，收包限制不住）當前ens8端口為10GE光口，帶寬可以達到1250MB/s。我們先限制總的網絡流速為10000Mbit/s，然後再創建子類，將子類限制流速為100Mbit/s，最後再使用iptables命令將發包的端口與子類關聯，達到對端口限速的目的。具體操作如下：

#查看現有的隊列
tc -s qdisc ls dev eth0

#查看現有的分類
tc -s class ls dev eth0

#清理iptables Mangle規則
iptables -t mangle -F

#清理ens8上原有的隊列類型
tc qdisc del dev ens8 root

#創建隊列
tc qdisc add dev ens8 root handle 1:0 htb default 1 
#添加一個htb隊列，綁定到eth0上，命名為1:0 ，默認歸類為1
#handle：為隊列命名或指定某隊列

#創建分類
tc class add dev ens8 parent 
 
1:0 classid 1:1 htb rate 10000Mbit
#為ens8下的root隊列1:0添加一個分類並命名為1:1，類型為htb，帶寬為10000M
#rate: 是一個類保證得到的帶寬值.如果有不只一個類,請保證所有子類總和是小於或等於父類.

#創建一個子分類
tc class add dev ens8 parent 1:1 classid 1:10 htb rate 100Mbit ceil 100Mbit
#為1:1類規則添加一個名為1:10的類，類型為htb，帶寬為100M
#ceil: ceil是一個類最大能得到的帶寬值.

#為了避免一個會話永占帶寬,添加隨即公平隊列sfq. 
tc qdisc add dev ens8 parent 
 
1:10 handle 10: sfq perturb 10 
#perturb：是多少秒後重新配置一次散列算法，默認為10秒 
#sfq，可以防止一個段內的一個ip占用整個帶寬 

#使用u32創建過濾器 
tc filter add dev ens8 protocol ip parent 1:0 prio 1 u32 match ip sport 46320 flowid 1:10 
#執行此步時總是報錯（Illegal “match”） 註意flowid需要與classid相同

#上步執行報錯，采用iptables方式限速
#創建過濾器並制定handle
tc filter add dev ens8 parent 1:0 protocol ip prio 1 handle 10 fw classid 1:10

#使用iptables對端口綁定tc隊列
iptables -A OUTPUT -t mangle -p tcp --sport 46320 -j MARK --set-mark 10
#set-mark與classid相同

完成上述配置後，當從端口46320發出去的包得到了限速，通過包大小以及包個數，傳輸包的時間大概統計出帶寬值如下：

Trans data for 1000 times, average time for every process:
0.0513210330009
average time 0.0513210330009
bandwidth 11.1887605612 MB/s

帶寬與設置的限速吻合，從其他端口發出去的包沒有收到限制，帶寬較大，如下：

Trans datafor 1000 times, average time for every process:
0.00130607795715
average time 0.00130607795715
bandwidth 439.651206771 MB/s

原理後續分析，未完待續。。。

參考博客

https://my.oschina.net/adailinux/blog/1631371

https://www.diannaobos.com/post/609.html

使用iptables和tc對端口限速