在 Linux 系统中，流量限制（带宽控制）可以通过多种工具实现，主要用于控制网络接口、特定 IP、端口或应用程序的上传/下载速率。以下是常见的几种方法，如何在Linux系统中精准控制网络流量？5大工具轻松实现带宽限制！，如何在Linux系统中精准控制网络流量？5大工具轻松实现带宽限制！

在Linux系统中，流量限制（带宽控制）是管理网络资源的重要手段，可通过多种工具实现精准控制，常见方法包括使用tc（Traffic Control）命令直接配置内核流量调度规则，或借助wondershaper简化接口限速操作，对于应用层控制，trickle可动态限制单个程序的带宽，而iptables结合hashlimit模块能针对IP或端口进行限速，nftables作为新一代防火墙工具也支持带宽管控功能，这些工具支持上传/下载速率分离设置，适用于网络接口、特定IP、端口或应用程序的精细化流量管理，帮助优化网络性能或实施公平使用策略。

在 Linux 生态系统中，流量控制（带宽管理）可通过多层次的工具链实现，涵盖网络接口、IP 地址、端口及应用程序等不同维度的速率控制，主流方案包括：

1. TC（Traffic Control）：内核级流量整形框架，支持 HTB、CBQ 等复杂队列算法，适合接口级精细化控制
2. iptables/nftables：通过报文标记与 TC 协同工作，实现基于五元组的限速策略
3. wondershaper：TC 的友好封装，快速配置接口带宽阈值
4. trickle：用户态动态限速工具，针对单个进程实施带宽约束
5. 容器化方案：如 Docker 的 --bandwidth 参数和 Kubernetes 网络策略
6. FireQOS 等专业工具提供可视化配置界面

这些方案可独立部署或组合应用,满足企业级 QoS 保障、带宽公平分配及 DDoS 防护等多样化场景需求。

tc：Linux 流量控制核心引擎

作为内核原生支持的流量管理框架,tc 通过 队列规则（QDisc） 和 分类器（Class） 的树形结构实现工业级流量整形能力，支持以下核心功能：

• 带宽保障与突发控制
• 流量优先级调度
• 网络延迟优化

实战示例：限制 eth0 接口下载带宽为 1Mbps

# 清理现有规则（重要！避免规则冲突）
tc qdisc del dev eth0 root 2>/dev/null || true
# 配置令牌桶过滤器（TBF）
tc qdisc add dev eth0 root tbf \
    rate 1mbit \       # 基准速率
    burst 32kbit \     # 允许的突发流量
    latency 400ms     # 最大延迟容忍

参数深度解析：

• rate：可持续传输速率阈值
• burst：令牌桶容量，决定瞬时突发带宽
• latency：直接影响 TCP 拥塞控制算法的行为

高阶应用：结合 iptables 的 MARK 目标与 tc 的 fw 分类器，可实现基于 IP/端口的差异化 QoS 策略：

# 标记SSH流量
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j MARK --set-mark 10
# 创建优先级分类
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 10 fw flowid 1:10

wondershaper：TC 的极简主义实践

专为快速部署设计的 Shell 封装工具，适合以下场景：

• 临时带宽限制需求
• 不熟悉 TC 复杂语法的用户
• 原型验证阶段测试

安装与使用指南：

# Ubuntu/Debian 安装
sudo apt install wondershaper -y
# 设置 eth0 上下行带宽（下载2Mbps/上传1Mbps）
sudo wondershaper eth0 2048 1024
# 查看当前配置
sudo wondershaper eth0
# 清除限制
sudo wondershaper clear eth0

技术局限性：

• 仅支持简单速率限制
• 无法实现多级分类队列
• 规则重启后失效（需配合 init 脚本持久化）

iptables + hashlimit：安全防护组合拳

该方案特别适用于：

• 防御暴力破解攻击
• 缓解 CC 攻击
• API 接口限流保护

SSH 连接速率限制（每秒≤3次尝试）：

iptables -A INPUT -p tcp --dport 22 \
    -m conntrack --ctstate NEW \
    -m hashlimit \
    --hashlimit-name ssh \
    --hashlimit-above 3/min \
    --hashlimit-burst 5 \
    --hashlimit-mode srcip \
    -j DROP

关键参数说明：

• --hashlimit-mode：支持 srcip/dstip/srcport 等多维度
• --hashlimit-burst：类似令牌桶的初始容量
• --hashlimit-htable-size：优化哈希表性能（大流量场景）

trickle：应用级带宽沙箱

采用 LD_PRELOAD 注入技术的用户空间方案，优势包括：

• 无需 root 权限
• 动态调整限制值
• 支持 UDP/TCP 双协议

典型使用模式：

# 限制curl下载速度（100KB/s）
trickle -d 100 curl -O https://example.com/iso
# 守护进程模式（全局限制）
trickled -d 500 -u 300  # 下载500KB/s, 上传300KB/s

注意事项：

• 不适用于静态链接的二进制程序
• 对多线程应用可能存在精度偏差
• 建议通过 strace 验证注入效果

cgroup v2：云原生时代的流量管控

Linux 控制组第二代实现提供更完善的网络资源隔离：

现代方案的优势：

• 与容器编排体系深度集成
• 支持网络优先级（net_prio）
• 可关联 CPU/内存等资源约束

Kubernetes 实践示例：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
spec:
  podSelector:
    matchLabels:
      app: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend
    limits:
      bandwidth: 10Mbps

企业级部署建议

性能优化要点

1. 硬件加速：考虑支持 QOS 功能的智能网卡（如 Intel DDP）
2. 内核调优：

   echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
   sysctl -w net.core.netdev_max_backlog=5000

3. 监控体系：
   • Prometheus + node_exporter 采集 TC 指标
   • Grafana 仪表板可视化带宽趋势

持久化方案对比

通过合理选择和组合这些工具,可以构建从简单到企业级的完整流量控制体系，建议从 wondershaper 开始快速验证需求，逐步过渡到 tc 精细控制，最终在云原生环境中采用 cgroup 方案实现全栈资源管理。