您正在查看:2009年12月

December 31, 2009

1.在备份服务运行：ssh-keygen -d 生成 id_dsa和id_dsa.pub
2. scp id_dsa.pub 到主服务器
scp /root/.ssh/id_dsa.pub root@ip:/root/.ssh/authorized_keys
3. 如果authorized_keys 存在则执行下面的步骤：scp /root/.ssh/id_dsa.pub root@ip:/root/.ssh/aa.pub
cat aa.pub >>authorized_keys
4.利用rsync 传递数据

rsync -zrtopg --progress --stats --delete -e ssh /home/aa root@220.181.4.61:/home/aa

5,参考脚本

RSYNC 参数详解

-v, –verbose 详细模式输出
-q, –quiet 精简输出模式
-c, –checksum 打开校验开关，强制对文件传输进行校验
-a, –archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于-rlptgoD
-r, –recursive 对子目录以递归模式处理
-R, –relative 使用相对路径信息
-b, --backup 创建备份，也就是对于目的已经存在有同样的文件名时，将老的文件重新命名为~filename。可以使用--suffix选项来指定不同的备份文件前缀。
--backup-dir 将备份文件(如~filename)存放在在目录下。
-suffix=SUFFIX 定义备份文件前缀
-u, --update 仅仅进行更新，也就是跳过所有已经存在于DST，并且文件时间晚于要备份的文件。(不覆盖更新的文件)
-l, --links 保留软链结
-L, --copy-links 想对待常规文件一样处理软链结
--copy-unsafe-links 仅仅拷贝指向SRC路径目录树以外的链结
--safe-links 忽略指向SRC路径目录树以外的链结
-H, --hard-links 保留硬链结
-p, --perms 保持文件权限
-o, --owner 保持文件属主信息
-g, --group 保持文件属组信息
-D, --devices 保持设备文件信息
-t, --times 保持文件时间信息
-S, --sparse 对稀疏文件进行特殊处理以节省DST的空间
-n, --dry-run现实哪些文件将被传输
-W, --whole-file 拷贝文件，不进行增量检测
-x, --one-file-system 不要跨越文件系统边界
-B, --block-size=SIZE 检验算法使用的块尺寸，默认是700字节
-e, --rsh=COMMAND 指定替代rsh的shell程序
--rsync-path=PATH 指定远程服务器上的rsync命令所在路径信息
-C, --cvs-exclude 使用和CVS一样的方法自动忽略文件，用来排除那些不希望传输的文件
--existing 仅仅更新那些已经存在于DST的文件，而不备份那些新创建的文件
--delete 删除那些DST中SRC没有的文件
--delete-excluded 同样删除接收端那些被该选项指定排除的文件
--delete-after 传输结束以后再删除
--ignore-errors 及时出现IO错误也进行删除
--max-delete=NUM 最多删除NUM个文件
--partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输
--force 强制删除目录，即使不为空
--numeric-ids 不将数字的用户和组ID匹配为用户名和组名
--timeout=TIME IP超时时间，单位为秒
-I, --ignore-times 不跳过那些有同样的时间和长度的文件
--size-only 当决定是否要备份文件时，仅仅察看文件大小而不考虑文件时间
--modify-window=NUM 决定文件是否时间相同时使用的时间戳窗口，默认为0
-T --temp-dir=DIR 在DIR中创建临时文件
--compare-dest=DIR 同样比较DIR中的文件来决定是否需要备份
-P 等同于 --partial
--progress 显示备份过程
-z, --compress 对备份的文件在传输时进行压缩处理
--exclude=PATTERN 指定排除不需要传输的文件模式
--include=PATTERN 指定不排除而需要传输的文件模式
--exclude-from=FILE 排除FILE中指定模式的文件
--include-from=FILE 不排除FILE指定模式匹配的文件
--version 打印版本信息
--address 绑定到特定的地址
--config=FILE 指定其他的配置文件，不使用默认的rsyncd.conf文件
--port=PORT 指定其他的rsync服务端口
--blocking-io 对远程shell使用阻塞IO
--stats 给出某些文件的传输状态
--progress 在传输时现实传输过程
--log-format=FORMAT 指定日志文件格式
--password-file=FILE 从FILE中得到密码
--bwlimit=KBPS 限制I/O带宽，KBytes per second
-h, --help 显示帮助信息

控制脚本

因为往往备份的目录是相对固定的，如果每次备份都要输入那么长一串，会不会觉得很麻烦呢？那我们写一个脚本来工作，并且利用crontab来定时定点的执行同步工作。

控制脚本代码如下：

#!/bin/sh
# rsyncer.sh
# author Jonsen Yang( 16hot )
# home http://www.isyi.com http://16hot.blog.isyi.com
# date 2007-03-20
#

LOCAL_DIR="/opt/etc" ;
REMOTE_USER="mybackup" ;
REMOTE_HOST="192.168.11.11" ;
REMOTE_DIR="/tmp/myetc" ;

RSYNC_CMD="/usr/local/bin/rsync" ;
RSYNC_LOG="/opt/var/log/rsync.log" ;

RSYNC_RUN="${RSYNC_CMD} -vzrtopg --progress --stats --delete -e ssh ${LOCAL_DIR} ${REMOTE_USER}@${REMOTE_HOST}:${REMOTE_DIR}";

${RSYNC_RUN} >> ${RSYNC_LOG} 2>&1;

# end rsyncer.sh

将 rsyncer.sh 脚本保存到 /opt/bin（或者你自己的工作目录）目录下，还要注意保证设置好mybackup用户可以执行的属性。

$ chmod +x /opt/bin/rsyncer.sh

另外，要注意 /opt/var/log/rsync.log 也必须是mybackup帐户可以读写才行。

运行

经过上面的步骤后，可谓万事俱备，只欠运行了。其实也很简单，我们只需要设置crontab，定时执行备份脚本进行备份就可以了。

$ crontab -e
0 3  * * *  /opt/bin/rsyncer.sh

这样，每天凌晨3点，就会自动执行 /opt/bin/rsyncer.sh 进行备份了。

参考网站：
http://wiki.isyi.com/wiki/Rsync_%2B_ssh_%E5%AE%89%E5%85%A8%E9%80%9A%E9%81%93%E8%BF%9B%E8%A1%8C%E5%90%8C%E6%AD%A5#.E5.8A.A0.E5.AF.86.E4.BC.A0.E8.BE.93

继续阅读

Linux下使用SSH、Crontab、Rsync三工具实现数据自动备份

December 31, 2009

作为网管人员大概都无一例外的经历过系统备份，尤其是重要系统的备份、重要数据库系统的备份工作。由于备份是个频繁而琐碎的工作，如何能把这个工作做得即简单又灵活呢？下面就来介绍在Linux下如何使用SSH和Crontab以及Rsync工具来进行数据的自动备份与同步。

一、SSH无密码安全登录

为什么要选择SSH呢?SSH又是什么呢?可以说它是替代以前Telnet的远程登录工具，SSH的英文全称是Secure Shell。用户可以把所有传输的数据进行加密，这样即使网络中的黑客能够劫持用户所传输的数据，如果不能解密的话，也不能对数据传输构成真正的威胁。而且SSH的数据传输是经过压缩的，可以加快传输的速度，这就是SSH目前能替代Telnet远程登录工具的原因。

说到安全，SSH提供两种级别的安全验证，一种是基于口令的安全验证。只要用户知道自己账号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证用户正在连接的服务器就是用户想连接的服务器，可能会有别的服务器在冒充真正的服务器，这存在着潜在的威胁。一种是基于密匙的安全验证。需要依靠密匙，也就是用户必须为自己创建一对公匙，密钥，并把公用密匙放在需要访问的服务器上。如果需要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求使用用户的密匙进行安全验证。服务器收到请求之后，先在服务器上用户的主目录下找到该用户的公用密匙，然后把它和用户发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”并把它发送给客户端软件。客户端软件收到“质询” 之后就可以用用户的私人密匙解密再把它发送给服务器。

下面做的就是利用第二种基于密匙的安全验证的登录，具体方法如下：

使用如下命令在需要备份的机器上创建一对公钥/密钥：

#ssh-keygen -t rsa

Generation public/private rsa key pair.

Enter file in which to save the key(/root/.ssh/id_rsa):

Enter passphrase(empty for no passphrase):

Enter same passphrase again:

Your identiflcation has been save in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_ras.pub.

The key fingerprint is:

c3:a0:de:f8:24:8e:f6:0d:ed:0a:b0:a2:2d:aa:d3:8broot@localhost.localdomain

这期间一直按回车即可，这样公匙/密钥就创建完毕。

使用如下命令把公匙传到需要备份的服务器上：

#ssh 192.168.1.2

#mkdir .ssh;chmod 0700 .ssh

远程登录到需要备份的服务器上并且创建.ssh目录。

#scp .ssh/id-rsa.pub 192.168.1.2 : .ssh/authorized_keys2

上述命令可以把公钥远程传过去。

这样一个SSH基于密匙的安全验证登录就简单的做完了，现在就可以从192.168.1.1直接用“ssh 192.168.1.2”无密码自动登录过去了，这样就简单而又安全的实现了自动登录目的，可以为下面定时做备份打下前题。

二、定时数据同步

这里把定时触发和同步一起来简单介绍一下，Crontab是个能定时执行命令的一个工具，它是用来让使用者在固定时间或固定间隔执行程式之用，下面就介绍一下这个命令的常用参数。

Crontab命令参数：

-e执行文字编辑器来设定时程表，内定的文字编辑器是VI，如果你想用别的文字编辑器，则请先设定VISUAL环境变数来指定使用那个文字编辑器(比如说setenvVISUALjce)。

-r删除目前的时程表。

-I列出目前的时程表。

Crontab时程表示格式如下：f1 f2 f3 f4 f5 command

其中，f1是表示分钟，f2表示小时，f3表示一个月份中的第几日，f4表示月份，f5表示一个星期中的第几天。Command表示要执行的命令。当f1为时表示每分钟都要执行command，f2为*时表示每小时都要执行程式，其余类推。当f1为a-b时表示从第a分钟到第b分钟这段时间内要执行，f2为a-b时表示从第a到第b小时都要执行。当f1为*/n时表示每n分钟个时间间隔执行一次，f2为*/n表示每n小时个时间间隔执行一次，其余类推。当f1为a,b,C,......时表示第a,b,C,......分钟要执行，f2为a,b,C,......时表示第a,b,C,......个小时要执行，其余类推。当然也可以将要定时执行的命令存放在预备文档里，这里就得用crontab file的方式来设定时程表。

三、数据同步

现在来介绍一下如何让数据同步的一个工具，Rsync可以让数据同步，下面看一下一些Rsync的主要参数：

-V，--verbose输出的信息；

-q，--quiet安静模式，几乎没有信息产生．常用在以cron执行rsync;

-a，--archive archive mode权限保存模式，相当于-rlptgoD参数;

-p，--perms保留档案权限;

-O，--owner保留档案所有者(root only)；

-g，--g rouP保留档；案群；

-D，--devices保留device信息(root only);

-e，--h=COMMAND定义所使用的remote shell;

-4，--ipv4使用IPv4协议;

-6，--ipv6使用IPv6协议;

下面看一下如何通过SSH和Rsync工具组合使用方法：

#rsync -ave ssh 192.168.1.2:/home/ftp/pub/ /home/ftp/pub/

需要注意的是,源端目录名称末尾的/。在源说明中后缀/通知rsync复制该目录的内容，但不复制目录文件自身。要想把目录包含在要复制内容的最顶层就要去掉/;

使用SSH传输rsync流量具有下述优点，可通过网络加密数据，而且速度非常快，使用SSH客户端密钥建立的任何信任关系。如果要在两台计算机之间保持大型、复杂目录结构的同步性(尤其是两者间的差异很小时)，那么rsync就是一种使用起来极为方便(并且执行速度很快)、随心所欲的工具。

#crontab -e

0 17 * * 1-5 rsync -ave ssh 192.168.1.2:/my /my

上面的操作"crontab-e"命令是编辑定时启动脚本,然后在周一到周五的每天下午5点执行SSH远程自动登录然后把192.168.1.2的/my目录下的所有东西同步到本地的/my目录下，这样就达到了自动数据同步备份的目的了。

继续阅读

使用public/private key让putty(ssh)自动登录（以及linux上使用密钥做ssh自动登陆）

December 30, 2009

方法一：使用puttygen.exe

第一步：生成密匙
运行puttygen.exe，选择需要的密匙类型和长度，使用默认的SSH2(RSA)，长度设置为1024就可以了。
passphrase可以为空，免得登录时还是要输入一次密码。

点击Save private key 按钮保存公匙和私匙，例如key.ppk，public key不用保存，以后使用Puttygen.exe Load功能就可以显示public key。

第二步：上传密匙
用自己的帐号登录linux主机，然后执行下面的命令：
$ cd ~
$ mkdir .ssh
$ chmod 700 .ssh
$ cd .ssh
$ cat > authorized_keys
（复制puttygen public Key 文本框内的内容，按 Ctrl+C 复制到剪贴板中。以前产生的key，那么使用load 功能，就可以显示public key了，然后在Putty窗口中按Shift+Ins粘贴）
（再按Ctrl+D键，完成文件的创建）
$ chmod 600 authorized_keys

第三步：设置Putty
1）启动Putty，设置好session的各项参数（如果以前已经设置过，那么load一下），然后从左边选择“SSH->Auth”，点击 Browse 按钮，选择 key.ppk 文件。
2）设置 auto-login 用户名，Connection -> Data -> Auto-login username
3）再从左边选择 Session，然后点击 Save 按钮把修改保存下来。然后点击Open 按钮就可以登录了。
如果上面的操作都没有问题，那这时应该就自动登录了，无需输入密码。

到这里基本可以结束了。。。。
但是如果希望这个private key使用在linux主机上，不用密码登陆上放有public key的主机上，
那么：

第四步：linux private key设置
(运行puttygen.exe，load 前面保存的key.ppk，如果还没关puttygen.exe，
这一步就不用了)
选择菜单Conversions->Export OpenSSH key，保存成文件id_rsa，上传到linux
主机的~/.ssh/目录下，这样这台主机就可以不用密码登陆到前面放有public key的
主机上了。
$ chmod 600 ~/.ssh/id_rsa

=================================================

方法二：使用linux命令ssh-keygen第一步：产生key
ssh-keygen -b 密匙长度 -t 密匙类型
密匙类型可以是：rsa1 （对应SSH1 RSA）、rsa 和 dsa （对应SSH2）
如：
$ ssh-keygen -b 1024 -t rsa
默认在~/.ssh下会生成 id_rsa和 id_rsa.pub
这里id_rsa是private key，id_rsa.pub是public key （密钥类型 RSA，密钥长度 1024）。

第二步：设置linux主机
把id_rsa.pub 复制为authorized_keys，放在需要登陆的linux主机的~/.ssh目录下

$ scp id_ras.pub hostname1:/home/username/.ssh/authorized_keys

这样就可以不用密码ssh到hostname1上了（hostname1和username根据自己情况而定，用户名和本地相同，不相同的话要显式地指定用户名：scp id_ras.pub username@hostname1:/home/username/.ssh/authorized_keys）

如果想使用putty，因为ssh-keygen生成的SSH2密匙和putty的密匙格式不同，无法直接使用，
必须用 puttygen.exe 转换一下：

第三步：转换private key，设置putty使用winscp(推荐)或者 psftp.exe 或者ftp把id_rsa下载到本地，运行puttygen.exe，选择菜单Conversions->Import key
然后save private key （比如key.ppk），就可以使用这个private key设置putty了，设置方法和上面相同。

注：上面红色的文件名是固定的，不要使用其他文件名。

putty.exe和puttygen.exe下载地址：
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

继续阅读

Susan Boyle

December 17, 2009

苏珊大妈

英文名(Susan Boyle)
2009年4月11日英国独立电视公司著名的选秀节目《英国达人》中,年龄有点大(48岁), 长相有点雷人(身材臃肿、相貌普通),打扮有点老土(顶着一头乱发),说话有点语无伦次的苏珊·博伊尔上了台。面对又老又没明星相的苏珊,评委西蒙·克威尔漫不经心地发问:“你的梦想是什么?”苏珊特实诚地回答:“做专业歌手,成为伊莱恩·佩吉那样的歌星。”这一回答激起台下阵阵笑声。
音乐响起,苏珊开始演唱音乐剧《悲惨世界》中的曲目《我曾有梦》。就在她开口的一刹那,奇迹发生了!评委和在场观众立刻被浑厚而富有磁性的天籁之音所震撼,所有的鄙夷瞬间化成了倾慕。掌声雷动。
这一幕,成为2009年4月中旬全球网络点击量最高的视频。她比赛的视频收看人次在短时间内就突破了1亿,远远高于美国总统奥巴马的就职典礼(1850万人次)。苏珊大妈红了!苏珊成为了媒体的关注焦点,各种各样的访谈节目和唱片公司都向她发出了邀请。
苏珊·博伊尔成为了全球热议话题。英国媒体说,许多人被感动,是因为苏珊颠覆了以貌取人的大众娱乐文化。美国《娱乐周刊》的著名记者施瓦茨鲍姆在博客上写道:如今的大众流行文化充斥着外形包装,而苏珊·博伊尔毫无矫饰的艺术力量“重新定义了美丽的衡量标准”。
苏珊本人怎样看待这个问题呢?苏珊说:“我早就预料到人们看到我的外表会有些鄙视,但我决定让他们刮目相看。在《英国达人》之前,我一直没有合适机会。你必须不断努力,一步一个脚印,终究会成功。永远不要放弃梦想。”
昔日选秀视频曝光
1995年，33岁的苏珊参加了英国当红选秀节目《MyKindofPeople》。近日，她在接受参访时回忆：“我当时太紧张了，由于过度颤抖导致无法歌唱，我通过初选，但没能得到上电视的机会。”
虽然电视台从未播出，但这段录像却被完整保留下来。苏珊过度紧张的原因竟是节目主持人迈克·巴里摩尔的嘲弄和猥亵。身穿桃红色套装的苏珊一出场就雷倒了谐星巴里摩尔。当她开口唱音乐剧《万世巨星》主题曲《如何爱他》时，巴里摩尔悄悄绕到她的身后，突然趴了在她裙底下，装出“偷窥”的模样。苏珊一边唱，一边朝向他的脸踢去，最后不得不跪在地上演唱。好不容易唱毕，巴里摩尔又一把拉住苏珊强吻。现场观众发出阵阵笑声。
事后，苏珊被节目刷掉，无缘在电视上露脸。这段视频也从未被官方保存。巧合的是，另一位参赛者伊丽莎白·迈克莱恩的女儿用家庭摄像机录下了整个过程，并于昨日将它高价卖给了苏格兰一家小报。

继续阅读

iproute2和tc的高级策略路由用法

December 4, 2009

```
#Linux advanced router
ip link show                             #显示链路
ip addr show                          #显示地址(或ifconfig)
ip route show                            #显示路由(route -n)
ip neigh show                            #显示arp表(ping 192.168.95.50，如果主机在同一局域网内，直接加到arp表)
ip neigh delete 192.168.95.50 dev eth0   #删除arp条目，条目仍然存在状态为stale，下次通信需要确认
ip rule show                             #显示缺省规则
ip route del default dev eth0            #删除接口路由
ip route show table local                #查看本地静态路由
ip route show table main                 #查看直连路由

###########
未测
###########
echo 200 John >>/etc/iproute2/rt_tables  #设置名字对于数值
ip rule add from 10.0.0.10 table John    #指定源地址
ip route add default via 192.168.44.128 dev ppp2 table John #将数据指向该表网关
ip route flush cache

#################################################################
#测试双线上网,负载均衡
#################################################################
#Local environment：
#Output interface:
#eth0:192.168.222.128 gateway:192.168.222.2
#eth2:192.168.1.109   gateway:192.168.1.109

#Input interface:
#eth1:192.168.95.2 netmaks 255.255.255.0

ip rule add from 192.168.222.128 table 150
ip rule add from 192.168.1.109 table 151

ip route add default via 192.168.222.2 table 150
ip route add default via 192.168.1.1 table 151

#ip route add 192.168.222.0/24 dev eth0 src 192.168.222.128 table 150
#ip route add 192.168.1.0/24 dev eth2 src 192.168.1.109 table 151

ip route replace default scope global nexthop via 192.168.222.2 dev eth0 weight 1 nexthop via 192.168.1.1 dev eth2 weight 1
ip route flush cache

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.95.0/24 -j SNAT --to-source 192.168.222.128
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.95.0/24 -j SNAT --to-source 192.168.1.109

echo "nameserver 210.21.4.130" >/etc/resole.conf

##################################################
#测试双线上网,负载均衡，跟上面一样的，写法稍微好点
##################################################
#Local environment：
#Output interface:
#eth0:192.168.222.128 gateway:192.168.222.2
#eth2:192.168.1.109   gateway:192.168.1.109

#Input interface:
#eth1:192.168.95.2 netmaks 255.255.255.0

ip rule add pref 10 from 192.168.222.128 table 10
ip rule add pref 10 from 192.168.1.109 table 20

ip route replace default via 192.168.222.2 dev eth0 table 10
ip route replace default via 192.168.1.1 dev eth2 table 20

#下面两句主要增加
#物理机通过nat接口(与eth0在同一网段)访问需要在网关加一条路由，通过bridged接口(与eth2在同一网段)访问正常
#ip route add 192.168.222.0/24 dev eth0 src 192.168.222.128 table 150
#ip route add 192.168.1.0/24 dev eth2 src 192.168.1.109 table 151

ip route replace default nexthop via 192.168.222.2 dev eth0 weight 4 nexthop via 192.168.1.1 dev eth2 weight 1
ip route flush cache

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.95.0/24 -j SNAT --to-source 192.168.222.128
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.95.0/24 -j SNAT --to-source 192.168.1.109

#iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.22.3-192.168.22.255 -j SNAT --to-source 192.168.1.254
#iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.22.3-192.168.22.255 -j SNAT --to-source 192.168.233.2

echo "nameserver 210.21.4.130" >/etc/resole.conf

#########################################################
#网络上个一个例子
#########################################################
#Link: http://www.study-area.org/tips/multipath.htm
#實作指令

5.1 獲取當前各界面之 ip ：
# ip address show
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:44:84:26:4f brd ff:ff:ff:ff:ff:ff
    inet 220.130.96.21/24 brd 220.130.96.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:20:ed:36:f9:74 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.2/24 brd 192.168.100.255 scope global eth1
4: eth2: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:b3:4b:69:49 brd ff:ff:ff:ff:ff:ff
    inet 10.1.2.3/24 brd 10.1.2.255 scope global eth2
15: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc pfifo_fast qlen 3
    link/ppp
    inet 210.64.33.27 peer 210.64.33.1/32 scope global ppp0

5.2 設定 ip rule ：
# ip rule add pref 10 from 220.130.96.21 table 10
# ip rule add pref 20 from 192.168.100.2 table 20
# ip rule add pref 30 from 210.64.33.27 table 30

5.3 設定 ip route 各 table ：
# ip route replace default via 220.130.96.254 dev eth0 table 10
# ip route replace default via 192.168.100.1 dev eth1 table 20
# ip route replace default via 210.64.33.1 dev ppp0 table 30

5.4 設定 ip route main table：
# ip route replace default \
> nexthop via 220.130.96.254 dev eth0 weight 4 \
> nexthop via 192.168.100.1 dev eth1 weight 1 \
> nexthop via 210.64.33.1 dev ppp0 weight 1

5.5 檢視 main table 規則：
# ip route show
210.64.33.1 dev ppp0  proto kernel  scope link  src 210.64.33.27
192.168.100.0/24 dev eth1  scope link
220.130.96.0/24 dev eth0  scope link
10.1.2.0/24 dev eth2  scope link
169.254.0.0/16 dev eth2  scope link
127.0.0.0/8 dev lo  scope link
default
        nexthop via 220.130.96.254  dev eth0 weight 4
        nexthop via 192.168.100.1  dev eth1 weight 1
        nexthop via 210.64.33.1  dev ppp0 weight 1

5.6 刷新 route cache：
# ip route flush cache

5.7 測試及確認連線生效：
基本上，若在輸入上述命令中沒遇到 error ，那設定就已完成。
接下來可起用多個對外連線(或用 ping)，
然後使用 tcpdump -i any 來查看封包是否能分攤在每一條連線上。
#################################################################

#########################################

################################################################
tc 流量控制:
#测试环境
Output: eth0 192.168.222.128
Input： eth1 192.168.95.2
################################################################
#限制单个地址已测

#队列规定 qdisc(queueing discipline) ,类(class)和分类器(Classifiers)

#清除接口所有规则
tc qdisc del dev eth1 root 2>/dev/null
tc -s qdisc show dev eth1   #查看总的流量

#限制单个ip流量
tc qdisc add dev eth1 root handle 1: htb r2q 1
tc class add dev eth1 parent 1: classid 1:1 htb rate 100kbit ceil 200kbit
tc filter add dev eth1 parent 1: protocol ip prio 1 u32 match ip dst 192.168.95.50 flowid 1:1

##################################################
#实际流量是这里6倍
tc qdisc del dev eth1 root 2>/dev/null
tc qdisc add dev eth1 root handle 1: htb default 30
tc class add dev eth1 parent 1: classid 1:1 htb rate 15kbit ceil 15kbit
tc class add dev eth1 parent 1:1 classid 1:10 htb rate 10kbit ceil 10kbit
tc class add dev eth1 parent 1:1 classid 1:20 htb rate 5kbit ceil 5kbit

tc qdisc add dev eth1 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev eth1 parent 1:20 handle 20: sfq perturb 10

tc filter add dev eth1 parent 1: protocol ip prio 1 u32 match ip dst 192.168.95.50 flowid 1:10
tc filter add dev eth1 parent 1: protocol ip prio 1 u32 match ip dst 192.168.95.51 flowid 1:20

tc class show dev eth1 classid 1:1
tc class show dev eth1 classid 1:10
tc class show dev eth1 classid 1:20
 
tc -s filter show dev eth1
tc -s class show dev eth1
tc -s class show dev eth1 classid 1:1
tc -s class show dev eth1 classid 1:10
tc -s class show dev eth1 classid 1:20

##################################################

iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

tc qdisc del dev eth1 root 2>/dev/null
tc qdisc add dev eth1 root handle 1: htb default 30
tc class add dev eth1 parent 1: classid 1:1 htb rate 15kbit ceil 15kbits
tc class add dev eth1 parent 1:1 classid 1:10 htb rate 10kbit ceil 10kbit
tc class add dev eth1 parent 1:1 classid 1:20 htb rate 5kbit ceil 5kbit

tc qdisc add dev eth1 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev eth1 parent 1:20 handle 20: sfq perturb 10
 
tc filter add dev eth1 parent 1: protocol ip prio 1 handle 6 fw flowid 1:10
tc filter add dev eth1 parent 1: protocol ip prio 1 handle 7 fw flowid 1:20

#对路由到本地的包有效速度控制
iptables -t mangle -A OUTPUT -o eth1 --destination 192.168.95.50 -j MARK --set-mark 0x6
iptables -t mangle -A OUTPUT -o eth1 --destination 192.168.95.51 -j MARK --set-mark 0x7

#对转发包速度控制
iptables -t mangle -A PREROUTING -i eth1 --source 192.168.95.50 -j MARK --set-mark 0x6
iptables -t mangle -A PREROUTING -i eth1 --source 192.168.95.51 -j MARK --set-mark 0x7

iptables -t filter -nvL
iptables -t mangle -nvL
```

参考：
https://baturin.org/docs/iproute2/
https://developers.redhat.com/blog/2018/10/22/introduction-to-linux-interfaces-for-virtual-networking/

继续阅读