发现流控这一块规则多了的话效率不是很高，有个建议

fox85 · 发表于 2020-11-13 13:04:09

首先说一下我的场景，高恪是位于拓扑中的二级路由，在一级路由处已做了透明代理（即FQ模式）
所有局域网的设备均在虚拟机的高恪X86固件下接入，因为高恪对于网络管理这一块的功能做得非常棒，网络流量也能很直观的展示出来给管理员
因为希望对属于中国大陆的目的地IPV4不限速，而属于境外的目的地IPV4都作限速，因此我先尝试在IP分组内填入了属于不是中国大陆的IPV4地址集合

然后在固定流控那里进行规则编写，并应用之。
但实践发现结果是，如果IP分组的集合内容很多，会非常影响流控的效率，表现在：
我进行国内网址的测速，按流控规则来说，是没有做对目的地为中国大陆的IPV4地址进行限速的，预期结果应该是达到宽带线路出口最大值才是，但结果却只有80Mbps左右。
一旦我把流控规则删除，进行再次测速的结果就会跑出宽带线路出口最大值。

我尝试反馈并建议一下开发者或高恪的管理员，高恪的系统应该是以iptables实现限速的吧？那请问能否实现对“IP分组”这个功能以ipset的形式来保存ip的集合？
如果这样可行的话，当使用iptables配合ipset集合进行限速的话，我的这个应用场景的带宽效率应该就大大提升的吧？

希望管理员能采纳，谢谢！

fox85 · 发表于 2020-11-13 13:07:55

因为按我的猜测是，流控规则这样写的话就只有一条，iptables规则也应该只有一条，虽然ipset集合内的ip地址非常多，但不会影响iptables的执行效率，自然就不会影响流控规则的执行效率而导致带宽下降

不知实际的情况是不是这样，望各位斧正，谢谢！

admin · 发表于 2020-11-13 15:54:23

是用的ipset

admin · 发表于 2020-11-13 15:54:47

没看到你的硬件型号、版本号

fox85 · 发表于 2020-11-13 15:57:26

admin 发表于 2020-11-13 15:54
没看到你的硬件型号、版本号

路由型号 GOCLOUD SX1200 (X86标准版) Intel(R) Pentium(R) G3240
产品序列号 SX1200**********0B56
固件版本 4.3.0.17821

fox85 · 发表于 2020-11-13 16:11:41

admin 发表于 2020-11-13 15:54
是用的ipset

流控规则里面，总数量就只有一条，比如我尝试过：
规则的内容是对所有目的地属于美国的ipv4地址进行限速，属于美国的ipv4 CIDR格式的有55000多条，我先在IP分组内把该批地址导入保存，然后再在流控规则进行应用。

按规则来说，在国内测速，比如https://10000.gd.cn测速就不应受流控规则影响，但实际上应用了那条规则后，在国内测速得出来的测试结果带宽下降得很厉害。
把该唯一的流控规则删除后，速度马上恢复

fox85 · 发表于 2020-11-13 20:41:10

请问这个执行效率的问题，有提升的方法吗

fox85 · 发表于 2020-11-17 14:15:11

well ，等了多天没结果，我另寻方法了，由于高恪使用的是路由模式，我在一级路由处直接使用nftables 加 ipset 做限速了，效率比tc或iptables高得多了