RHEL網絡優化工作

RHEL網絡優化
/proc/sys/net/ipv4/優化
1) /proc/sys/net/ipv4/ip_forward
該文件表示是否打開IP轉發。
0，禁止
1，轉發
缺省設置：0
2) /proc/sys/net/ipv4/ip_default_ttl
該文件表示一個數據報的生存週期（Time To Live），即最多經過多少路由器。
缺省設置：64
增加該值會降低系統性能。
3) /proc/sys/net/ipv4/ip_no_pmtu_disc
該文件表示在全局範圍內關閉路徑MTU探測功能。
缺省設置：0
4) /proc/sys/net/ipv4/route/min_pmtu
該文件表示最小路徑MTU的大小。
缺省設置：552
5) /proc/sys/net/ipv4/route/mtu_expires
該文件表示PMTU信息緩存多長時間（秒）。
缺省設置：600（秒）
6) /proc/sys/net/ipv4/route/min_adv_mss
該文件表示最小的MSS（Maximum Segment Size）大小，取決於第一跳的路由器MTU。
缺省設置：256（bytes）
6.1 IP Fragmentation
1) /proc/sys/net/ipv4/ipfrag_low_thresh
/proc/sys/net/ipv4/ipfrag_low_thresh
兩個文件分別表示用於重組IP分段的內存分配最低值和最高值，一旦達到最高內存分配值，其它分段將被丟棄，直到達到最低內存分配值。
缺省設置：196608（ipfrag_low_thresh）
　　　　　262144（ipfrag_high_thresh）
2) /proc/sys/net/ipv4/ipfrag_time
該文件表示一個IP分段在內存中保留多少秒。
缺省設置：30（秒）
6.2 INET Peer Storage
1) /proc/sys/net/ipv4/inet_peer_threshold
INET對端存儲器某個合適值，當超過該閥值條目將被丟棄。該閥值同樣決定生存
時間以及廢物收集通過的時間間隔。條目越多，存活期越低，GC 間隔越短。
缺省設置：65664
2) /proc/sys/net/ipv4/inet_peer_minttl
條目的最低存活期。在重組端必須要有足夠的碎片(fragment)存活期。這個最低
存活期必須保證緩衝池容積是否少於 inet_peer_threshold。該值以 jiffies爲
單位測量。
缺省設置：120
3) /proc/sys/net/ipv4/inet_peer_maxttl
條目的最大存活期。在此期限到達之後，如果緩衝池沒有耗盡壓力的話(例如：緩
衝池中的條目數目非常少)，不使用的條目將會超時。該值以 jiffies爲單位測量。
缺省設置：600
4) /proc/sys/net/ipv4/inet_peer_gc_mintime
廢物收集(GC)通過的最短間隔。這個間隔會影響到緩衝池中內存的高壓力。 該值
以 jiffies爲單位測量。
缺省設置：10
5) /proc/sys/net/ipv4/inet_peer_gc_maxtime
廢物收集(GC)通過的最大間隔，這個間隔會影響到緩衝池中內存的低壓力。 該值
以 jiffies爲單位測量。
缺省設置：120
6.3 TCP Variables
1) /proc/sys/net/ipv4/tcp_syn_retries
該文件表示本機向外發起TCP SYN連接超時重傳的次數，不應該高於255；該值僅僅針對外出的連接，對於進來的連接由tcp_retries1控制。
缺省設置：5
2) /proc/sys/net/ipv4/tcp_keepalive_probes
該文件表示丟棄TCP連接前，進行最大TCP保持連接偵測的次數。保持連接僅在
SO_KEEPALIVE套接字選項被打開時才被髮送。
缺省設置：9（次）
3) /proc/sys/net/ipv4/tcp_keepalive_time
該文件表示從不再傳送數據到向連接上發送保持連接信號之間所需的秒數。
缺省設置：7200（2小時）
4) /proc/sys/net/ipv4/tcp_keepalive_intvl
該文件表示發送TCP探測的頻率，乘以tcp_keepalive_probes表示斷開沒有相應的TCP連接的時間。
缺省設置：75（秒）
5) /proc/sys/net/ipv4/tcp_retries1
　　該文件表示放棄迴應一個TCP連接請求前進行重傳的次數。
　　
　　缺省設置：3
6) /proc/sys/net/ipv4/tcp_retries2
　　該文件表示放棄在已經建立通訊狀態下的一個TCP數據包前進行重傳的次數。　　
　　缺省設置：15
7) /proc/sys/net/ipv4/tcp_orphan_retries
在近端丟棄TCP連接之前，要進行多少次重試。默認值是 7 個，相當於 50秒–
16分鐘，視 RTO 而定。如果您的系統是負載很大的web服務器，那麼也許需
要降低該值，這類 sockets 可能會耗費大量的資源。另外參考
tcp_max_orphans。
8) /proc/sys/net/ipv4/tcp_fin_timeout
對於本端斷開的socket連接，TCP保持在FIN-WAIT-2狀態的時間。對方可能
會斷開連接或一直不結束連接或不可預料的進程死亡。默認值爲 60 秒。過去在
2.2版本的內核中是 180 秒。您可以設置該值，但需要注意，如果您的機器爲負
載很重的web服務器，您可能要冒內存被大量無效數據報填滿的風險，
FIN-WAIT-2 sockets 的危險性低於 FIN-WAIT-1，因爲它們最多隻吃 1.5K
的內存，但是它們存在時間更長。另外參考 tcp_max_orphans。
缺省設置：60（秒）
9) /proc/sys/net/ipv4/tcp_max_tw_buckets
系統在同時所處理的最大timewait sockets 數目。如果超過此數的話，
time-wait socket 會被立即砍除並且顯示警告信息。之所以要設定這個限制，純
粹爲了抵禦那些簡單的 DoS ***，千萬不要人爲的降低這個限制，不過，如果
網絡條件需要比默認值更多，則可以提高它(或許還要增加內存)。
缺省設置：180000
10) /proc/sys/net/ipv4/tcp_tw_recyle
打開快速 TIME-WAIT sockets 回收。除非得到技術專家的建議或要求，請不要隨
意修改這個值。
缺省設置：0
11) /proc/sys/net/ipv4/tcp_tw_reuse
該文件表示是否允許重新應用處於TIME-WAIT狀態的socket用於新的TCP連接。
缺省設置：0
12) /proc/sys/net/ipv4/tcp_max_orphans
系統所能處理不屬於任何進程的TCP sockets最大數量。假如超過這個數量，那麼不屬於任何進程的連接會被立即reset，並同時顯示警告信息。之所以要設定這個限制，純粹爲了抵禦那些簡單的 DoS ***，千萬不要依賴這個或是人爲的降低這個限制。
缺省設置：8192
13) /proc/sys/net/ipv4/tcp_abort_on_overflow
當守護進程太忙而不能接受新的連接，就向對方發送reset消息，默認值是false。
這意味着當溢出的原因是因爲一個偶然的猝發，那麼連接將恢復狀態。只有在你確信守護進程真的不能完成連接請求時纔打開該選項，該選項會影響客戶的使用。
缺省設置：０
14) /proc/sys/net/ipv4/tcp_syncookies
該文件表示是否打開TCP同步標籤(syncookie)，內核必須打開了 CONFIG_SYN_COOKIES項進行編譯。 同步標籤(syncookie)可以防止一個套接字在有過多試圖連接到達時引起過載。
缺省設置：0
15) /proc/sys/net/ipv4/tcp_stdurg
使用 TCP urg pointer 字段中的主機請求解釋功能。大部份的主機都使用老舊的
BSD解釋，因此如果您在 Linux 打開它，或會導致不能和它們正確溝通。
缺省設置：0
16) /proc/sys/net/ipv4/tcp_max_syn_backlog
對於那些依然還未獲得客戶端確認的連接請求，需要保存在隊列中最大數目。對於超過 128Mb 內存的系統，默認值是 1024，低於 128Mb 的則爲 128。如果服務器經常出現過載，可以嘗試增加這個數字。警告！假如您將此值設爲大於1024，最好修改 include/net/tcp.h 裏面的 TCP_SYNQ_HSIZE，以保持TCP_SYNQ_HSIZE*16 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale 128Mb 32768-610000)則系統將忽略所有發送給自己的ICMP ECHO請求或那些廣播地址的請求。
缺省設置：1024
17) /proc/sys/net/ipv4/tcp_window_scaling
該文件表示設置tcp/ip會話的滑動窗口大小是否可變。參數值爲布爾值，爲1時表示可變，爲0時表示不可變。tcp/ip通常使用的窗口最大可達到 65535 字節，對於高速網絡，該值可能太小，這時候如果啓用了該功能，可以使tcp/ip滑動窗口大小增大數個數量級，從而提高數據傳輸的能力。
缺省設置：1
18) /proc/sys/net/ipv4/tcp_sack
該文件表示是否啓用有選擇的應答（Selective Acknowledgment），這可以通過有選擇地應答亂序接收到的報文來提高性能（這樣可以讓發送者只發送丟失的報文段）；（對於廣域網通信來說）這個選項應該啓用，但是這會增加對 CPU 的佔用。
缺省設置：1
19) /proc/sys/net/ipv4/tcp_timestamps
該文件表示是否啓用以一種比超時重發更精確的方法（請參閱 RFC 1323）來啓用對 RTT 的計算；爲了實現更好的性能應該啓用這個選項。
缺省設置：1
20) /proc/sys/net/ipv4/tcp_fack
該文件表示是否打開FACK擁塞避免和快速重傳功能。
缺省設置：1
21) /proc/sys/net/ipv4/tcp_dsack
該文件表示是否允許TCP發送“兩個完全相同”的SACK。
缺省設置：1
22) /proc/sys/net/ipv4/tcp_ecn
該文件表示是否打開TCP的直接擁塞通告功能。
缺省設置：0
23) /proc/sys/net/ipv4/tcp_reordering
該文件表示TCP流中重排序的數據報最大數量。
缺省設置：3
24) /proc/sys/net/ipv4/tcp_retrans_collapse
該文件表示對於某些有bug的打印機是否提供針對其bug的兼容性。
缺省設置：1
25) /proc/sys/net/ipv4/tcp_wmem
該文件包含3個整數值，分別是：min，default，max
Min：爲TCP socket預留用於發送緩衝的內存最小值。每個TCP socket都可以使用它。
Default：爲TCP socket預留用於發送緩衝的內存數量，默認情況下該值會影響其它協議使用的net.core.wmem中default的 值，一般要低於net.core.wmem中default的值。
Max：爲TCP socket預留用於發送緩衝的內存最大值。該值不會影響net.core.wmem_max，今天選擇參數SO_SNDBUF則不受該值影響。默認值爲128K。
缺省設置：4096 16384 131072
26) /proc/sys/net/ipv4/tcp_rmem
該文件包含3個整數值，分別是：min，default，max
Min：爲TCP socket預留用於接收緩衝的內存數量，即使在內存出現緊張情況下TCP socket都至少會有這麼多數量的內存用於接收緩衝。
Default：爲TCP socket預留用於接收緩衝的內存數量，默認情況下該值影響其它協議使用的 net.core.wmem中default的值。該值決定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win的默認值情況下，TCP 窗口大小爲65535。
Max：爲TCP socket預留用於接收緩衝的內存最大值。該值不會影響 net.core.wmem中max的值，今天選擇參數 SO_SNDBUF則不受該值影響。
缺省設置：4096 87380 174760
27) /proc/sys/net/ipv4/tcp_mem
該文件包含3個整數值，分別是：low，pressure，high
Low：當TCP使用了低於該值的內存頁面數時，TCP不會考慮釋放內存。
Pressure：當TCP使用了超過該值的內存頁面數量時，TCP試圖穩定其內存使用，進入pressure模式，當內存消耗低於low值時則退出pressure狀態。
High：允許所有tcp sockets用於排隊緩衝數據報的頁面量。
一般情況下這些值是在系統啓動時根據系統內存數量計算得到的。
缺省設置：24576 32768 49152
28) /proc/sys/net/ipv4/tcp_app_win
該文件表示保留max(window/2^tcp_app_win, mss)數量的窗口由於應用緩衝。當爲0時表示不需要緩衝。
缺省設置：31
29) /proc/sys/net/ipv4/tcp_adv_win_scale
該文件表示計算緩衝開銷bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale >; 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale

2) /proc/sys/net/ipv4/*/accept_source_route
　是否接受含有源路由信息的ip包。參數值爲布爾值，1表示接受，0表示不接受。在充當網關的linux主機上缺省值爲1，在一般的linux主機上缺省值爲0。從安全性角度出發，建議關閉該功能。
3) /proc/sys/net/ipv4/*/secure_redirects
　其實所謂的“安全重定向”就是隻接受來自網關的“重定向”icmp包。該參數就是用來設置“安全重定向”功能的。參數值爲布爾值，1表示啓用，0表示禁止，缺省值
　爲啓用。
4) /proc/sys/net/ipv4/*/proxy_arp
　設置是否對網絡上的arp包進行中繼。參數值爲布爾值，1表示中繼，0表示忽略，
　缺省值爲0。該參數通常只對充當路由器的linux主機有用。
七、性能優化策略
7.1 基本優化
1) 關閉後臺守護進程
系統安裝完後，系統會默認啓動一些後臺守護進程，有些進程並不是必需的；因此，關閉這些進程可以節省一部分物理內存消耗。以root身份登錄系統，運行ntsysv，選中如下進程：
　　iptables
network
syslog
random
apmd
xinetd
vsftpd
crond
local
修改完後，重新啓動系統。
如此，系統將僅僅啓動選中的這些守護進程。
2) 減少終端連接數
系統默認啓動6個終端，而實際上只需啓動3個即可；以root身份登錄系統，運行vi /etc/inittab，修改成如下：
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
如上所述，註釋掉4、5、6終端。
3) 待續。。。
7.2 網絡優化
1) 優化系統套接字緩衝區
net.core.rmem_max=16777216
net.core.wmem_max=16777216
2) 優化TCP接收／發送緩衝區
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
3) 優化網絡設備接收隊列
net.core.netdev_max_backlog=3000
4) 關閉路由相關功能
net.ipv4.conf.lo.accept_source_route=0
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.eth0.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.lo.accept_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.eth0.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.lo.secure_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.eth0.secure_redirects=0
net.ipv4.conf.default.secure_redirects=0
net.ipv4.conf.lo.send_redirects=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.eth0.send_redirects=0
net.ipv4.conf.default.send_redirects=0
5) 優化TCP協議棧
打開TCP SYN cookie選項，有助於保護服務器免受SyncFlood***。
net.ipv4.tcp_syncookies=1
打開TIME-WAIT套接字重用功能，對於存在大量連接的Web服務器非常有效。
net.ipv4.tcp_tw_recyle=1
net.ipv4.tcp_tw_reuse=1
減少處於FIN-WAIT-2連接狀態的時間，使系統可以處理更多的連接。
net.ipv4.tcp_fin_timeout=30
減少TCP KeepAlive連接偵測的時間，使系統可以處理更多的連接。
net.ipv4.tcp_keepalive_time=1800
增加TCP SYN隊列長度，使系統可以處理更多的併發連接。
net.ipv4.tcp_max_syn_backlog=8192