最新消息:

linux 相关系统参数调优_大量TIME_WAIT 的TCP状态的情况

tools admin_ad 398浏览 0评论

vi /etc/sysctl.conf

中的参数配置如下:

net.ipv4.ip_local_port_range = 1024 65000

net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216

#表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1

#表示系统同时保持TIME_WAIT的最大数量,如果超过这个数字,TIME_WAIT将立刻被清除并打印警告信息。
#默认为180000,改为6000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,
#但是对于Squid,效果却不大。此项参数可以控制TIME_WAIT的最大数量,避免Squid服务器被大量的TIME_WAIT拖死。
net.ipv4.tcp_max_tw_buckets = 5000

#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号
#时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。
net.ipv4.tcp_timestamps = 0

#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_sack = 0
net.core.netdev_max_backlog = 30000
net.ipv4.tcp_no_metrics_save = 1

net.core.somaxconn = 65535

#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。
#如果超过这个数字,连接将即刻被复位并打印出警告信息。
#这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)。
net.ipv4.tcp_max_orphans = 262144

#表示SYN队列的长度,默认为1024,加大队列长度为65535,可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_syn_backlog = 65535

#为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK,也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量。
net.ipv4.tcp_synack_retries = 2
#在内核放弃建立连接之前发送SYN包的数量。
net.ipv4.tcp_syn_retries = 2
fs.file-max = 2000000
fs.nr_open = 2000000
#for redis
vm.overcommit_memory = 1

特别注意如下参数:

net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
如果系统(主要指服务端系统)出现大量TIME_WAIT状态,加上上面几个参数可以有效缓解,特别注意,这没有解决根本问题:导致服务端主动断开连接的原因。
注意:一般情况下,TCP连接都是谁建立谁断开,服务端不会主动断开一个有效连接,特殊情况下:心跳包超时时,服务端会主动断开连接(心跳的机制:主要为了尽快释放无效的连接,如果连接上没有任何数据来往,服务端是不知道这个连接是好还是坏的,心跳机制就是定时在tcp连接上收发一个心跳数据,让服务端收到数据后就认为连接是好的)。

执行完参数修改之后,需要执行如下命令才能生效:

/sbin/sysctl -p

转载请注明:VPS驿站 » linux 相关系统参数调优_大量TIME_WAIT 的TCP状态的情况

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址