作为一名服务器管理员，你是否也曾经历过这样的时刻：原本流畅如丝的网络突然变得像蜗牛爬行，一查日志，才发现某个不知天高地厚的用户正在通过SFTP上传几个G的备份文件？那种看着带宽占用率飙升至100%而其他服务都在喊“救命”的无力感， 结果你猜怎么着？ 简直让人抓狂。别担心， 今天我们就来聊聊如何在Debian系统上，利用强大的tc工具，给SFTP加上一道“紧箍咒”，实现高效的带宽管理。这不仅能拯救你的网络，还能让你在同事面前展现一番技术大神的范儿。

为什么我们需要限制SFTP带宽？

先说说我们要明确一点，SFTP本身是一个非常棒的协议，它加密传输，平安可靠。但它的“贪婪”也是出了名的。默认情况下Linux内核并不会对某个特定的服务进行带宽限制。这意味着，只要有足够的物理带宽，SFTP就会毫不客气地全部吃掉，抄近道。。

我惊呆了。 想象一下 你的服务器正在运行一个关键的Web应用，突然有人开始通过SFTP拉取数据库备份。瞬间，HTTP请求开始超时用户开始投诉，老板开始敲门……这种场景，光是想想就让人头皮发麻。通过配置带宽限制，我们可以确保SFTP流量始终在一个可控的范围内，为关键业务留出“呼吸”的空间。这就是所谓的“流量整形”。

准备工作：安装必要的工具

在开始动手之前，我们需要确保手头有合适的“武器”。Debian默认并没有预装所有我们需要的网络工具， 虽然iproute2包通常都在但确认一下总是好的。毕竟少一个依赖包，命令行报错的时候可是会让人心情烦躁的，最终的最终。。

欧了！ 打开你的Terminal或者Konsole， 输入以下命令来更新软件源并安装工具：

sudo apt update
sudo apt install iproute2

这里的核心工具是tc它是Linux内核流量控制工具的前端接口。虽然它的命令行参数看起来像是一堆乱码，但一旦你掌握了它的逻辑，你就会发现它其实非常强大且灵活，呃...。

理解TC的基本逻辑

在敲击命令之前，我们需要先花点时间理解一下tc的工作原理。不要被那些复杂的术语吓倒，其实它就像是一个交通捕快，内卷...。

• qdisc 排队规则。这是“调度器”，决定了数据包如何被发送出去。我们主要使用htb主要原因是它允许我们创建一个层级结构，非常直观。
• class类。这是具体的“车道”。我们可以创建不同的类，比如“高速车道”和“低速车道”。
• filter过滤器。这是“分流器”。它负责把特定的数据包扔到对应的“车道”里去。

我们的策略是：创建一个HTB根队列， 然后在下面创建一个限速的类，再说说用过滤器把SFTP流量或者特定用户的IP地址丢进这个类里。

实战演练：配置SFTP带宽限制

好了 理论部分结束，现在让我们卷起袖子开始干吧。假设我们要限制SFTP的下载速度为1Mbps，并且我们要针对特定的IP地址进行限制。这种方法比单纯限制端口更灵活， 主要原因是你可以只限制那个总是占用带宽的“捣蛋鬼”，而不影响其他管理员的高速传输。

步骤1：查看网络接口

先说说你得知道你的网卡叫什么名字。以前通常是eth0 但现在Debian用的是Predictable Network Interface Names， 操作一波。 可能是ens33enp0s3之类的。用这个命令看看：

ip addr

我惊呆了。 找到那个带有你服务器IP地址的接口，记下它的名字。

步骤2：创建带宽限制规则

这里我们要施行一系列tc命令。为了方便，你可以把它们写成一个脚本， 拖进度。 但为了演示，我们一条条来看。

2.1 创建根队列

先说说我们在网卡上挂载一个HTB调度器。default 30的意思是 如果没有匹配到任何过滤器的流量，都会被扔到ID为30的类里。

sudo tc qdisc add dev eth0 root handle 1: htb default 30

2.2 创建一个限速类

接下来 我们创建一个类，ID设为1:1。这里的关键参数是rate和ceil。在这个例子中， 总体来看... 我们把它们都设为1024kbps，也就是严格限制在1Mbps。

sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 1024kbps ceil 1024kbps

有时候， 看着rate和ceil这两个参数，我不禁感叹设计者的精妙。如果你想让流量在空闲时能跑得更快一点， 可以把ceil设高一点，比如2048kbps，这样在网络不拥堵时用户能享受到更快的速度，而一旦拥堵，就会回落到rate的值。这种“弹性”管理才是高效网络管理的精髓，我始终觉得...。

2.3 创建过滤器

现在是最关键的一步。我们要告诉内核：“嘿， 把来自这个IP地址的数据包， 离了大谱。 全部扔到刚才那个1:1的慢车道里去！”

假设你想限制的用户的IP地址是192.168.1.100 命令如下：

sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.1.100 flowid 1:1

这里用到了u32过滤器，它非常强大，可以匹配IP头部的各种字段。如果你只想限制SFTP的下载， 这里用src是正确的，主要原因是源IP是你的服务器。等等，这里有个坑！如果你的目的是限制用户从服务器下载， 那么源IP应该是服务器的IP，或者更准确地说我们应该匹配目的IP为用户的IP，与君共勉。。

让我修正一下思路：通常我们限制的是“用户占用带宽”。如果是用户上传文件到服务器，那是源IP为用户IP；如果是用户从服务器下载，那是目的IP为用户IP。为了简单起见，上面的命令限制了源IP为用户地址的流量。 太魔幻了。 如果你想限制下载速度，请将match ip src改为match ip dst。这种细节上的区分，往往就是配置成功和失败的区别。

步骤3：验证配置

配置完了别急着走，我们得看看效果。你可以使用以下命令来查看当前的带宽限制配置。加上-s参数可以显示统计数据，这对于我们排查问题非常有帮助。

sudo tc -s qdisc ls dev eth0
sudo tc -s class ls dev eth0
sudo tc -s filter ls dev eth0

当你看到屏幕上跳出一堆数字， 并且sent字节数在因为SFTP传输增加时那种成就感油只是生。这时候， 你可以再用测速工具或者实际传输一个文件测试一下看看速度是不是乖乖地被限制在了1Mbps左右。

持久化配置：让规则重启后依然有效

这时候你可能已经发现了一个问题：tc的规则在重启后就会消失。Linux内核不会自动保存这些内存中的状态。 总的来说... 这确实有点烦人，每次重启都要手动敲一遍命令？那也太不“极客”了。

为了确保重启后配置仍然有效，我们需要把命令写入启动脚本。在Debian中，最简单的方法是使用rc.local。 泰酷辣！ 不过需要注意的是 现代Debian系统默认可能没有/etc/rc.local文件，或者它不再被默认启用。

我们需要自己动手丰衣足食。先说说创建一个脚本文件：，别担心...

sudo nano /etc/rc.local

然后将以下内容粘贴进去。记得把eth0和IP地址替换成你自己的：

#!/bin/sh -e
#
# rc.local
#
# This script is executed at  end of each multiuser runlevel.
# Make sure that  script will "exit 0" on success or any or
# value on error.
#
# In order to enable or disable this script just change  execution
# bits.
#
# By default this script does nothing.
# 加载SFTP带宽限制规则
tc qdisc add dev eth0 root handle 1: htb default 30
tc class add dev eth0 parent 1: classid 1:1 htb rate 1024kbps ceil 1024kbps
# 注意：这里假设限制的是源IP为特定地址的流量
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip src 192.168.1.100 flowid 1:1
exit 0

保存并退出编辑器后最关键的一步来了：确保这个文件是可施行的。 杀疯了！ 很多时候配置失败就是主要原因是忘了这一步。

sudo chmod +x /etc/rc.local

躺平... 还有啊， 在最新的Debian版本中，你可能还需要确保rc-local服务是开启的：

sudo systemctl enable rc-local
sudo systemctl start rc-local

做完这一切，你可以放心地重启服务器了。当系统 启 搞起来。 动时你的带宽限制规则会像忠诚的卫士一样自动加载。

进阶技巧与替代方案

虽然tc命令非常强大， 但不得不说它的语法对新手不太友好，而且容易出错。如果你觉得上面的步骤太繁琐， 我开心到飞起。 或者你需要针对特定用户进行限制，还有一些其他的路可以走。

使用Trickle

给力。 Trickle是一个用户空间的带宽限制工具。它的优势在于你可以针对特定的应用程序进行限制，而且不需要root权限去修改内核的qdisc。但是 它只能限制通过trickle启动的进程，或者通过trickled守护进程进行动态注入。对于SFTP这种通过SSH启动的子进程，配置起来有时候会有些捉襟见肘。

使用Wondershaper

Wondershaper其实是一个封装了tc命令的脚本，旨在简化配置。它主要用来限制整个网卡的上下行速度。如果你只是想简单粗暴地限制整个服务器的对外带宽，防止它把家里的宽带占满，那它是个不错的选择。但如果你只想限制SFTP，它就显得不够精细了。

精神内耗。 为了让你更直观地了解这几种工具的区别， 我整理了一个简单的表格：

工具/方法	精细度	配置难度	适用场景
TC	极高	难	服务器端精细流量控制，生产环境推荐
Trickle	中等	中等	个人用户限制特定软件下载速度
Wondershaper	低	简单	快速限制整个网络接口的带宽

注意事项与常见陷阱

精辟。 在配置过程中，有几个坑是我踩过的，希望你们能避开：

1. 替换eth0这绝对是新手最容易犯的错误。现在的Debian系统，网卡名字千奇百怪。一定要用ip addr确认清楚， 否则命令敲下去，系统毫无反应，你会怀疑人生的。
2. IP地址的方向 强调，src和dst一定要分清。你想限制的是谁？是发送方还是接收方？搞反了方向，限制的可能是你自己而不是用户。
3. 调整带宽单位在tc命令中， kbps通常指的是千比特每秒，而不是千字节。如果你以为设置了1024kbps就是1MB/s，那你可能会发现速度慢了8倍。想要1MB/s？请设置8192kbps或者8mbps。
4. SSH连接中断如果你在测试时手滑， 把SSH连接本身的带宽限制得太低，那你可能连输入命令都卡顿，甚至连接断开。建议先在本地测试，或者留一个不限制的备用管理端口。

网络管理就像是在玩一场平衡游戏。我们需要在速度和稳定性之间找到那个完美的平衡点。通过在Debian上配置SFTP带宽限制， 小丑竟是我自己。 我们不仅解决了资源抢占的问题，更掌握了Linux内核强大的流量控制能力。

虽然一开始面对那些晦涩的tc命令可能会让人感到头大， 但当你成功看到带宽曲线被驯服得服服帖帖时那种掌控全局的快感是无可替代的。希望这篇文章能帮你轻松搞定SFTP限速，让你的服务器网络管理更上一层楼。别忘了技术是为了服务生活的，别让网络拥堵毁了你的好心情，改进一下。！

---