Шейпирование трафика ng_car + ipfw на FreeBSD


Основой данной статьи послужила публикация Дмитрия Шевченко.

Интересная идея заменить множество пайпов в файерволе на механизм предложенный в ng_car.

Для примера,схема такая, имеем:

Сервер FreeBSD, он подключает пользователей по PPPoE через mpd, интерфейс bge0 смотрит вверх.

Но, ВНИМАНИЕ, NAT`а на этом сервере нет, поэтому, зная что:

Шейпируется только исходящий трафик с интерфеса (как и в PF)

читайте эу статью учитывая эти факты.

Итак, до этого момента для шейпа использовался IPFW + PIPE + таблицы и вяглядело примерно так:


05800 pipe 63 ip from any to table(63) out
05900 pipe 93 ip from table(63) to any in
06000 pipe 64 ip from any to table(64) out
06100 pipe 94 ip from table(64) to any in
...
11200 pipe 78 ip from any to table(78) out
11300 pipe 108 ip from table(78) to any in
11400 pipe 256 ip from any to table(16) out
11500 pipe 257 ip from table(16) to any in

и т.д. около 50-ти таблиц, т.к. тарифов множество.

Шейпируется несколько видов трафика: в интернет, к локальным ресурсам

Используя IPFW+ ng_car + таблицы все это можно свести к менее громоздкому варианту:


04000 netgraph tablearg ip from table(20) to table(30) out via bge0
04010 netgraph tablearg ip from table(30) to table(20) out via ng*
05000 netgraph tablearg ip from table(10) to not table(30) out via bge0
05010 netgraph tablearg ip from not table(30) to table(10) out via ng*

Разница по загрузке CPU при шейпе на ng_car довольно ощутима.

Рассмотрим этот вариант повнимательнее:

netgraph - это правило действует как divert, только заворачивает оно не в socket, а в ноду netgraph с параметром tablearg.

tablearg - это аргумент в таблице (10 и 20). Он должен быть уникальным для каждого пользователя, именно по этому аргументу создается нода netgraph, которая и будет шейпить (лимитировать скорость) пользователя.

Пример создания таблицы IPFW:


#:test:~: ipfw table 10 add 172.16.10.26/32 10
#:test:~: ipfw table 10 add 172.16.10.27/32 20
#:test:~: ipfw table 10 add 172.16.10.28/32 30

Посмотрим, что получилось:
#:test:~:ipfw table 10 list
172.16.10.26/32 10
172.16.10.27/32 30
172.16.10.28/32 20

Условимся что:

table 10 - IP-адреса с доступом к интернету
table 20 - IP-адреса с доступом к локальным ресурсам
table 30 - IP-адреса самиx локальныx ресурсов
bge0 - верхний интерфес
ng* - нижние интерфейсы пользователей, подключенных через PPPoE (MPD).

Таким образом мы передали управление от ipfw к ng_car посредством 4 правил в файерволе.

Теперь нужно задать каждому IP-адресу определенную полосу.

В mpd есть скрипты up и down, которые отрабатывают при поднятии туннеля и при опускании туннеля.

Вот них то мы и будем нарезать полосы для IP-адресов в момент подключения к серверу.

Для шейпера нужны 3 модуля:
ng_ether.ko
ng_car.ko
ng_ipfw.ko

Посмотреть подгружены ли модули можно по команде:
kldstat

Если их нет, то загружаем командами:
/sbin/kldload /boot/kernel/ng_ether.ko
/sbin/kldload /boot/kernel/ng_car.ko
/sbin/kldload /boot/kernel/ng_ipfw.ko

Скрипт UP.pl:
#!/usr/bin/perl

$iface=$ARGV[0]; ###интерфес пользователя
$ip=$ARGV[3]; ###IP, выдаваемый пользователю
$user=$ARGV[4]; ###логин пользователя
$inet_table=10; ###таблица с IP-адресами с доступом в интернет
$local_table=20; ###таблица с IP-адресами c доступом к локальным ресурсам
$shape_inet=20971520; ###шейп в интернет (байт/с)
$shape_local=8388608; ###шейп в локалку (байт/с)

###Ищем tablearg IP-адреса в таблицах
$tablearg_inet=`/sbin/ipfw table $inet_table list | awk '/$ip/ {print $2}'`;
$tablearg_local=`/sbin/ipfw table $local_table list | awk '/$ip/ {print $2}'`;

###создаем шейп в интернет
$tablearg=$tablearg_inet;
chomp($tablearg);
$shape=$shape_inet;
$shape_type="inet";
shape($iface,$tablearg,$shape,$shape_type,$user);

###создаем шейп к локальным ресурсам
$tablearg=$tablearg_local;
chomp($tablearg);
$shape=$shape_local;
$shape_type="local";
shape($iface,$tablearg,$shape,$shape_type,$user);

###===функция нарезки шейпа===
sub shape{
$cbs=$ebs=$shape/8;
$cmd=sprintf("/usr/sbin/ngctl -f- <<-EOF
mkpeer ipfw: car %s upper
name ipfw:%s %s_%s
connect %s_%s: ipfw: lower %s
msg %s_%s: setconf { upstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } }
EOF>>",
$tablearg,$tablearg,$shape_type,$user,$shape_type,$user,$tablearg+1,$shape_type,$user,$cbs,$ebs,$shape,$ebs,$cbs,$shape);
`$cmd`; #Выполняем команду на сервере
}
$shape_inet=20971520; ###шейп в интернет (байт/с)
$shape_local=8388608; ###шейп в локалку (байт/с)

в данном случае шейпы взяты в качестве примера.

Если у вас различные тарифы, то соотвтетственно нужно дописать скрипт, чтобы брать из внешних источников (база данных например).

Имя ноды формируется из переменных $shape_type (тип шейпа) и $user (логин пользователя).

Для более наглядного примера приведу пример на логине пользователя login. Команда исполняемая на сервере будет выглядеть следующим образом:


/usr/sbin/ngctl -f- <<-EOF
mkpeer ipfw: car 10 upper
name ipfw:10 inet_login
connect inet_login: ipfw: lower 11
msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } }
EOF>>

Где:

mkpeer ipfw: car 10 upper - создаем ноду для пользователя и подключаем ее к модулю ipfw

name ipfw:10 inet_login - именуем ноду (в последствии через это имя можно управлять шейпом пользователя на лету).

connect inet_login: ipfw: lower 11 - соединяем хуки исходящего и входящего интерфейсов

Рзазберем управляющее сообщение:

msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440
cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 }
downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1
yellowAction=1 redAction=2 mode=2 } }

inet_login - имя ноды, куда направляется управляющее сообщение
cbs - Commited burst size – размер всплеска (в байтах), по умолчанию равен cir/8.
ebs - Exceeded/Peak burst size – превышение размера всплеска (в байтах),
по умолчанию равен cbs.
cir - Commited information rate - разрешенная полоса (в байтах/с).
greenAction - маркер трафика для cbs (man ng_car)
yellowAction - маркер трафика для ebs (man ng_car)
redAction - маркер трафика переполнения разрешенной полосы пропускания (man ng_car)
mode - mode=2 - Аналог Cisco Rate-Limit, mode=3 Аналог Cisco Traffic Shape.

Скрипт DOWN.pl:
#!/usr/bin/perl
$iface=$ARGV[0];
$ip=$ARGV[3];
$user=$ARGV[4];
$shape_type="inet";
shutdown_hook($user,$shape_type);
$shape_type="local";
shutdown_hook($user,$shape_type);

###===функция уничтожения нод для шейпа при отключении пользователя===
sub shutdown_hook{
my $hook=sprintf("%s_%s",$shape_type,$user);
$cmd=sprintf("/usr/sbin/ngctl shutdown %s:",$hook);
`$cmd`;
}

Исполняемая на сервер комманда следующим образом:
/usr/sbin/ngctl shutdown inet_login:


Т.е. выключаем соответствующую ноду.

Если таблицы будут выглядеть так:
[cc lang="bash" tab_size="2" lines="-1"]
#:test:~:ipfw table 10 list
172.16.10.26/32 10
172.16.10.27/32 30
172.16.10.28/32 20

#:test:~:ipfw table 20 list
172.16.10.26/32 5
172.16.10.27/32 25
172.16.10.28/32 15

То после подключения мы увидим следующую картину:


#:test:~:ngctl show ipfw:
Name: ipfw Type: ipfw ID: 00000d00 Num hooks: 4
Local hook Peer name Peer type Peer ID Peer hook
6 local_login car 00000d3f lower
5 local_login car 00000d3f upper
11 inet_login car 00000d3d lower
10 inet_login car 00000d3d upper

или для отдельного шейпа:
#:test:~:ngctl show local_login:
Name: star_37735-1 Type: car ID: 00000d50 Num hooks: 2
Local hook Peer name Peer type Peer ID Peer hook
lower ipfw ipfw 00000d00 6
upper ipfw ipfw 00000d00 5

Осталось прикрутить это к mpd5. Для этого в конфиг mpd5.conf дописываем:
set iface up-script /usr/local/etc/mpd5/UP.pl
set iface down-script /usr/local/etc/mpd5/DOWN.pl

не забудьте указать полный и главное правильный путь до скриптов !

Есть несколько моментов, о которых нужно помнить при построении такой системы:
Нужно внимательно соблюдать синтаксис ngctl команд, при ошибке или даже лишнем пробеле уже может ничего не работать. tablearg должен быть уникальным.

http://faqman.ru

Обновлено: 12.03.2015