如何用ulimit管理网络带宽

如何用ulimit管理网络带宽？你可能用错了工具

在Linux系统管理的世界里，ulimit 是一个大家耳熟能详的命令行工具，主要用来给shell进程的资源使用“划红线”——比如文件能打开多少、进程能创建几个、CPU时间能用多久。但如果你正琢磨着用它来给网络带宽“限速”，那恐怕是找错了方向。它本身并不直接具备管理网络流量的功能。

那么，真正想给网络带宽“戴上紧箍咒”，该用什么法宝呢？答案是另外几位“专业选手”：tc（Traffic Control），以及 nftables 或它的前辈 iptables。下面就来聊聊，怎么让这些工具为你所用。

使用 tc 管理网络带宽

tc 堪称Linux流量控制领域的“瑞士军刀”，功能强大且灵活。通过它，你可以轻松地对网络接口的带宽、延迟甚至丢包率进行精细化的设定。

举个例子，如果你想限制某个网络接口（比如eth0）的下行带宽，可以尝试下面这套基础操作：

# 创建一个htb（Hierarchical Token Bucket）队列
tc qdisc add dev eth0 root handle 1: htb default 30
# 创建一个类，限制带宽为1mbit/s
tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit ceil 1mbit
# 创建一个过滤器，将所有流量导向上面创建的类
tc filter add dev eth0 protocol ip parent 1: prio 1 u32 match ip dst 0.0.0.0/0 flowid 1:1

当然，这只是一个最简化的入门示例。tc 的配置体系相当复杂，足以应对各种精细的流量整形需求，具体怎么调，还得看你的实际场景。

使用 nftables 或 iptables 限制带宽

虽然 nftables 和 iptables 的核心本领是包过滤和网络地址转换，但它们同样能通过限制单位时间内的数据包数量或总数据量，间接达到带宽控制的目的。一个常见的做法是让它们和 tc 联手工作。

比如，下面这个组合方案，就能专门限制发往80端口（通常是HTTP服务）的TCP流量：

# 创建一个htb队列
tc qdisc add dev eth0 root handle 1: htb default 30
# 创建一个类，限制带宽为1mbit/s
tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit ceil 1mbit
# 使用iptables标记要限制的流量
iptables -A OUTPUT -t mangle -p tcp --dport 80 -j MARK --set-mark 1
# 使用tc过滤器将标记的流量导向限制类
tc filter add dev eth0 protocol ip parent 1: prio 1 handle 1 fw flowid 1:1

注意事项

• 理解原理再动手：在配置这些工具之前，务必花点时间了解其工作机制。一知半解就操作，很容易出问题。
• 风险意识：错误的配置可能导致网络中断或其他意想不到的后果，操作时需谨慎。
• 测试先行：任何配置变更，尤其是计划用于生产环境时，一定要在测试环境中充分验证。
• 环境差异：需要注意的是，tc 和 iptables 的具体语法和行为，可能会因Linux发行版和内核版本的不同而有细微差别。

如果你对这些工具还不熟悉，最稳妥的建议是：多查查官方手册（比如 man tc, man iptables），或者向经验丰富的网络管理员请教。毕竟，管理好网络带宽，是保障系统稳定运行的关键一环。