::: BYUS.NET - Jsboard 2.0pre4 - 자유 게시판 [ 게시물 읽기 ]

Read No. 141 article
2002-04-29 03:54:26
NickName	풀비누
Subject	Advanced Routing HOWTO 요약
원문 : http://kltp.kldp.org/stories.php?story=01/10/03/7562565
글쓴이 : mysupper

 http://linuxdoc.org/HOWTO/Adv-Routing-HOWTO.html 
이 원본 입니다. 핵심 재밋는 내용만 추렷습니다. 사실 이게 거의 답니다. 
kldp에 올릴까 1초 생각했다가 100초만에 docbook를 못하고 배우기도 
구찬타는 결론내고 마 여기 올립니다. 

=============== 
기본기 부터 봅니다. 
=============== 
아래글들은 레뎃기준이 아닙니다. 
레뎃은 /sbin/ip, /sbin/tc 에 위치하고 있는 점을 감안하세요 

ip link list 
인터페이스,맥어드레스등의 정보를 보여준다. 

ip address show 
ip 주소관련 정보 중심으로 보여준다. 

ip route show 
라우팅관련 정보를 보여준다. 

ip명령어의 옵션은 
/sbin/ip addr help 
Usage: ip addr {add|del} IFADDR dev STRING 
ip addr {show|flush} [ dev STRING ] [ scope SCOPE-ID ] 
[ to PREFIX ] [ FLAG-LIST ] [ label PATTERN ] 
IFADDR := PREFIX | ADDR peer PREFIX 
[ broadcast ADDR ] [ anycast ADDR ] 
[ label STRING ] [ scope SCOPE-ID ] 
SCOPE-ID := [ host | link | global | NUMBER ] 
FLAG-LIST := [ FLAG-LIST ] FLAG 
FLAG := [ permanent | dynamic | secondary | primary | 
tentative | deprecated ] 
와 같은 방법으로 자세한 사용법을 볼수 있습니다. 
man 페이지는 보지 마십시요. 삭만 죽습니다. 
man 페이지는 이 문서 다 읽고 보시면 도움이 될 수도 있습니다. 
============= 
라우팅 룰의 조정 
============= 

디폴트 라우팅 룰 보기 
ip rule list 

라이팅 룰 조정 예제 

가정 ; 2개의 케이블 모뎀이 있으며 둘다 linux NAT masquerading router에 연
결되어 있다. 
고객이 2명인데, 성격나쁜 john은 hotmail 만 보는 정도로만 사용하고 속도가 
느린 케이블모뎀에다 붙인다. 

케이블 모뎀 두개중 속도가 빠른 넘은 212.64.94.251의 ip로서 212.64.91의 
ppp로 연결된다. 
느린 케이블 모뎀은 212.64.78.148 의 ip로서 195.96.98.253으로 연결된다. 

linux NAT masquerading route의 기본 세팅이 아래와 같은 경우 

[ahu@home ahu]$ ip route list table local 
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 
local 10.0.0.1 dev eth0 proto kernel scope host src 10.0.0.1 
broadcast 10.0.0.0 dev eth0 proto kernel scope link src 10.0.0.1 
local 212.64.94.251 dev ppp0 proto kernel scope host src 212.64.94.251 
broadcast 10.255.255.255 dev eth0 proto kernel scope link src 10.0.0.1 
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 
local 212.64.78.148 dev ppp2 proto kernel scope host src 212.64.78.148 
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 


[ahu@home ahu]$ ip route list table main 
195.96.98.253 dev ppp2 proto kernel scope link src 212.64.78.148 
212.64.94.1 dev ppp0 proto kernel scope link src 212.64.94.251 
10.0.0.0/8 dev eth0 proto kernel scope link src 10.0.0.1 
127.0.0.0/8 dev lo scope link 
default via 212.64.94.1 dev ppp0 

위 상태에서 john을 위한 테이블을 추가하면 되겟다. 

# echo 200 John >> /etc/iproute2/rt_tables 
# ip rule add from 10.0.0.10 table John 
# ip rule ls 
0: from all lookup local 
32765: from 10.0.0.10 lookup John 
32766: from all lookup main 
32767: from all lookup default 

추가 한 후 john의 테이블을 라우팅 테이블에 넣고 라우팅 캐쉬를 새로 만들
면 
john이 쓰기 시작할 수 있다. 

# ip route add default via 195.96.98.253 dev ppp2 table John 
# ip route flush cache 

============== 
tunneling 
============== 
약간의 기본기부터 보자 
터널링은 리눅서 세가지다. ; ip in ip 방식, GRE 방식, 커널외부의 터널 
잘못 세팅하면 난리나므로 디폴트 라우팅 테이블을 터널링 디바이스로 보내지 
말것. 
터널링시 ip header에 20byte가 추가 되므로 대형 네떡서는 IP packet 
fragmentation/reassembly을 확인해 둘것. 
가장 빠른 터널링은 양쪽을 모두 터널링하는 것이다. 

여기서는 IPv4 GRE 터널링만 이야기해본다. 실제로 이걸로도 충분하다. 
가정 ; 
3개의 네떡이 있고 a - c -b의 형태로 연결된다. 

network a: 
network 10.0.1.0 
netmask 255.255.255.0 
router 10.0.1.1 

network b: 
network 10.0.2.0 
netmask 255.255.255.0 
router 10.0.2.1 

c는 a쪽으로 ip 172.16.17.18로 연결되고 이를 neta라 명명하고 
b 쪽으로 ip 172.19.20.21로 연결되며 이를 netb라 부르자. 


이때 gre tunneling으로 연결하려면, 
a쪽에서 

ip tunnel add netb mode gre remote 172.19.20.21 local 172.16.17.18 ttl 
255 
ip addr add 10.0.1.1 dev netb 
ip route add 10.0.2.0/24 dev netb 

이 것은 결국, 
첫줄에서 터널장치 netb를 만들고 GRE터널링을 이용하게 해서 netb가 
172.16.17.18에서 
오는 패킷은 172.19.20.21로 보내게 한다. (TTL 은 255) 
둘째줄에서 첫줄에서 만든 netb에 ip 주소 10.0.0.1을 할당햇다. 
셋째줄에서 netb의 패킷이 네떡 b 로만 연결되게 네떡 b 의 네트웍인 
10.0.2.0/24로 연결시켯다. 

b 쪽에서 같은 방식으로, 
ip tunnel add neta mode gre remote 172.16.17.18 local 172.19.20.21 ttl 
255 
ip addr add 10.0.2.1 dev neta 
ip route add 10.0.1.0/24 dev neta 
해주면 땡이다. 

터널링을 죽일때는 
a의 경우 
ip link set netb down 
ip tunnel del netb 
b의 경우 
ip link set neta down 
ip tunnel del neta 
해주면 땡이다. 

========================== 
CBQ를 이용해서 대역폭 제한하기 
========================== 
리눅이 열나 존것을 증명할 때다.!! 

커널 컴파일시 
[*] QoS and/or fair queueing (EXPERIMENTAL) 
< > CBQ packet scheduler (NEW) 
< > SFQ queue (NEW) 
를 꼭 넣어야 한다. 

기본기 부터 보자.간단하다. 
filter를 이용해서 패킷들을 queue로 보내고 queue가 패킷들을 보낼지 말지 어
떤 순서로 보낼지를 결정해서 보낸다. 
filter 로서 fwmark, u32를 보통 쓰는데, 
fwmark는 리눅의 넷필터 코드를 받는데 쓰고 
u32는 아무대나 다 쓸수 있다. 


예를 들어 해보자 
10메가 속도의 라인을 내가갖고잇다. 
그럼 이 하나의 라인을 리눅스 박스를 이용해서 두개의 서로 다른 사용자 
에게 각각 속도 제한을 시켜보자. 두 사용자의 이름은 '왕바버' 와 '왕천재' 
이다. 
예제로서 '왕바버'는 최대 2 메가 '왕천재'는 최대 8메가를 쓰게 해준다고 가
정하자. 
리눅박스에 랜카드 두개를 박고 eth1은 인터넷쪽에 eth0 는 허브에 연결시키
고 
리눅박스를 세팅해 가는 순서대로 설명해보면, 

tc qdisc add dev eth0 root handle 10: cbq bandwidth 10Mbit avpkt 1000 
eth0 에다 평균패킷사이즈 1000 옥텟으로 10메가 최대 속도로 루트 핸들 10: 
을 맹긴다. 
tc class add dev eth0 parent 10:0 classid 10:1 cbq bandwidth 10Mbit rate 
\ 
10Mbit allot 1514 weight 1Mbit prio 8 maxburst 20 avpkt 1000 
위에서 만든 루트핸들 10: 에다가 10:1 이라는 클래스를 만드는데 
이 클라스의 MTU 1514 이며 avpkt 1000 이며 1메가빗 단위로 끊어서 조정한
다. 
tc class add dev eth0 parent 10:1 classid 10:100 cbq bandwidth 10Mbit 
rate \ 
8Mbit allot 1514 weight 800Kbit prio 5 maxburst 20 avpkt 1000 \ 
bounded 
클라스 10:100을 맹길어 내는데 bounded 옵션을 이용해서 10메가중 8메가 상한
선으로 맹긴다. 
tc class add dev eth0 parent 10:1 classid 10:200 cbq bandwidth 10Mbit 
rate \ 
2Mbit allot 1514 weight 200Kbit prio 5 maxburst 20 avpkt 1000 \ 
bounded 
클라스 10:200을 맹기는데 10메가중 2메가 상한선으로 맹긴다. 

위의 것으로 클라스를 생성했다. 
이제 패킷트래픽을 룰에 따라 보낸다. 
보내는 방법은 sfq를 이용한다. 
tc qdisc add dev eth0 parent 10:100 sfq quantum 1514b perturb 15 
tc qdisc add dev eth0 parent 10:200 sfq quantum 1514b perturb 15 

마지막으로 
각각의 클라스로 들오는 패킷들을 제한해준다. 
tc filter add dev eth0 parent 10:0 protocol ip prio 100 u32 match ip dst 
\ 
150.151.23.24 flowid 10:200 
tc filter add dev eth0 parent 10:0 protocol ip prio 25 u32 match ip dst 
\ 
150.151.0.0/16 flowid 10:100 
벌써 눈치 챗겠지만, 
150.151.23.24는 '왕천재'의 패킷이고 
150.151.0.0/16은 '왕바보'의 패킷이다. 

이렇게 하면 downstream쪽 즉, eth0쪽은 끝이다. 

upstream 즉, eth1쪽도 위와 같은 방식으로 아래와 같이 세팅한다 . 

# tc qdisc add dev eth1 root handle 20: cbq bandwidth 10Mbit avpkt 1000 

# tc class add dev eth1 parent 20:0 classid 20:1 cbq bandwidth 10Mbit 
rate \ 
10Mbit allot 1514 weight 1Mbit prio 8 maxburst 20 avpkt 1000 

# tc class add dev eth1 parent 20:1 classid 20:100 cbq bandwidth 10Mbit 
rate \ 
8Mbit allot 1514 weight 800Kbit prio 5 maxburst 20 avpkt 1000 \ 
bounded 

# tc class add dev eth1 parent 20:1 classid 20:200 cbq bandwidth 10Mbit 
rate \ 
2Mbit allot 1514 weight 200Kbit prio 5 maxburst 20 avpkt 1000 \ 
bounded 

# tc qdisc add dev eth1 parent 20:100 sfq quantum 1514b perturb 15 
# tc qdisc add dev eth1 parent 20:200 sfq quantum 1514b perturb 15 

# tc filter add dev eth1 parent 20:0 protocol ip prio 100 u32 match ip 
src \ 
150.151.23.24 flowid 20:200 

# tc filter add dev eth1 parent 20:0 protocol ip prio 25 u32 match ip 
src \ 
150.151.0.0/16 flowid 20:100 

===================== 
패킷필터링과 짬뽕으로 쓰기 
===================== 
간단하게 말하자면 넷필터에다가 이름표를 붙이고 
iproute에서 해당 이름표를 사용하는 것이다. 

커널에, 
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [Y/n/?] 
IP: policy routing (CONFIG_IP_MULTIPLE_TABLES) [Y/n/?] 
IP: use netfilter MARK value as routing key (CONFIG_IP_ROUTE_FWMARK) 
[Y/n/?] 
요것들을 넣자 

넷필터에서 이름표를 붙일때는 --set-mark 를 이용한다. 

예를 들자. 
좀 느려도 상관없는 메일패킷을 느린라인에다 붙이고 싶다.! 

iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 25 \ 
-j MARK --set-mark 1 
25번 포트에 들오는 tcp패킷을 이름표 1 로 붙였다. 

# echo 201 mail.out >> /etc/iproute2/rt_tables 
# ip rule add fwmark 1 table mail.out 
# ip rule ls 
0: from all lookup local 
32764: from all fwmark 1 lookup mail.out 
32766: from all lookup main 
32767: from all lookup default 
이름표 1 을 갖는 패킷을 mail.out이라는 이름의 테이블로 맹길었다. 

/sbin/ip route add default via 195.96.98.253 dev ppp0 table mail.out 
mail.out 이라는 테이블상의 패킷은 ppp0 195.96.98.253로 나간다. 

======================================== 
telnet, ssh와 같은 interactive traffic에 우선권을 주기 
======================================== 
제목은 길지만 결국 ftp쪽에 로드가 심할때 텔넷이 버벅거리는 경우 
안버벅거리게(?) 써보자는 거다. 

커널컴팔시 필요한 것들 
/proc filesystem suport 
Sysctl support 
[*] IP: advanced router 
[ ] IP: use TOS value as routing key (NEW) 
<*> IP tables support 
< > TOS match support (NEW) 
부팅후 
echo “1” > /proc/sys/net/ipv4/ip_forward 

요렇게 준비를 해두면, 
패킷에 TOS를 붙일수 있다. 
붙일수있는 종류와 의미는 
"Minimum Delay", "Maximum Throughput", "Maximum Reliability" 
and "Minimum Cost" 
4개다. 
그러면 제목대로 조정해주려면 

# iptables -A PREROUTING -t mangle -p tcp --sport telnet \ 
-j TOS --set-tos Minimize-Delay 
# iptables -A PREROUTING -t mangle -p tcp --sport ftp \ 
-j TOS --set-tos Minimize-Delay 
# iptables -A PREROUTING -t mangle -p tcp --sport ftp-data \ 
-j TOS --set-tos Maximize-Throughput 

# iptables -A OUTPUT -t mangle -p tcp --dport telnet \ 
-j TOS --set-tos Minimize-Delay 
# iptables -A OUTPUT -t mangle -p tcp --dport ftp \ 
-j TOS --set-tos Minimize-Delay 
# iptables -A OUTPUT -t mangle -p tcp --dport ftp-data \ 
-j TOS --set-tos Maximize-Throughput 

해주면 땡이다.



Regist Addr [ 192.168.0.2 ]	목록보기 윗글 아랫글
정규표현식 [ 상세 검색 ]
Page Loading [ 0.04 Sec ] SQL Time [ 0 Sec ]
Copyleft 1999-2024 by JSBoard Open Project
Theme Designed by IDOO And follow GPL2