Linux服务器网络参数优化

     续TimeWait，收集了一下Linux网络参数的优化技巧，红帽官网有相关说明。

     收集了一下，挺多的。注释很详细了：

# 对于一个新建链接，内核要发送多少个SYN链接请求才决定放弃。<=255，默认值是5，对应于180秒左右时间。(对于大负载而物理通讯良好的网络而言，这个值偏高,可修改成2。这个值仅仅是针对对外的链接,对进来的链接,是由tcp_retries1决定的)
net.ipv4.tcp_syn_retries = 2

# 对于远端的链接请求SYN，内核会发送SYN＋ACK数据报，以确认收到上一个SYN链接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃链接以前所送出的SYN+ACK数目。<=255，默认值是5，对应于180秒左右时间。(能够根据上面的tcp_syn_retries来决定这个值)
net.ipv4.tcp_synack_retries = 2


# 当keepalive打开的状况下，TCP发送keepalive消息的频率。(默认值是7200(2小时)，服务器建议设为1800)
net.ipv4.tcp_keepalive_time = 1800

# TCP发送keepalive探测以肯定该链接已经断开的次数。(默认值是9，设置为5比较合适)
net.ipv4.tcp_keepalive_probes = 5

# 探测消息发送的频率，乘以tcp_keepalive_probes就获得对于从开始探测以来没有响应的链接杀除的时间。(默认值为75秒，推荐设为15秒)
net.ipv4.tcp_keepalive_intvl = 15

# 放弃回应一个TCP链接请求前﹐须要进行多少次重试。RFC规定最低的数值是3﹐也是默认值创建不调整。
net.ipv4.tcp_retries1 = 3

# 在丢弃激活(已创建通信情况)的TCP链接以前﹐须要进行多少次重试。默认值为15，根据RTO的值来决定，至关于13-30分钟(RFC1122规定，必须大于100秒)。(我建议修改成了5)
net.ipv4.tcp_retries2 = 3

# 在近端丢弃TCP链接以前﹐要进行多少次重试。默认值是7个﹐在大负载服务器上建议调整为3)
net.ipv4.tcp_orphan_retries = 3

# 对于本端断开的socket链接，TCP保持在FIN-WAIT-2状态的时间。对方可能会断开链接或一直不结束链接或不可预料的进程死亡。默认值为60 秒，推荐参考值为30。若是您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets的危险性低于FIN-WAIT-1﹐由于它们最多只吃1.5K的内存﹐可是它们存在时间更长。另外参考tcp_max_orphans。
net.ipv4.tcp_fin_timeout = 30

# 系统在同时所处理的最大timewait sockets数目。若是超过此数的话﹐time-wait socket会被当即砍除而且显示警告信息。默认180000，不建议修改。之因此要设定这个限制﹐纯粹为了抵御那些简单的DoS***﹐千万不要人为的下降这个限制﹐不过﹐若是网络条件须要比默认值更多﹐则能够提升它(或许还要增长内存)。
net.ipv4.tcp_max_tw_buckets = 180000

# 打开快速TIME-WAIT sockets回收。默认关闭，建议打开。
net.ipv4.tcp_tw_recycle = 1

# 该文件表示是否容许从新应用处于TIME-WAIT状态的socket用于新的TCP链接。默认关闭，建议打开。
net.ipv4.tcp_tw_reuse = 1

# 系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的链接会被当即reset，并同时显示警告信息。之因此要设定这个限制，纯粹为了抵御那些简单的DoS***。千万不要依赖这个或是人为的下降这个限制(这个值Redhat AS版本中设置为32768，可是不少防火墙修改的时候，建议该值修改成2000)
net.ipv4.tcp_max_orphans = 32768

# 当守护进程太忙而不能接受新的链接，就象对方发送reset消息，默认值是false。这意味着当溢出的缘由是由于一个偶然的猝发，那么链接将恢复状态。只有在你确信守护进程真的不能完成链接请求时才打开该选项，该选项会影响客户的使用。(对待已经满载的sendmail,apache这类服务的时候,这个能够很快让客户端终止链接,能够给予服务程序处理已有链接的缓冲机会,因此不少防火墙上推荐打开它)
net.ipv4.tcp_abort_on_overflow = 1

# 只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生做用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood***。
# 注意：该选项千万不能用于那些没有收到***的高负载服务器，若是在日志中出现synflood消息，可是调查发现没有收到synflood***，而是合法用户的链接负载太高的缘由，你应该调整其它参数来提升服务器性能。参考:
# tcp_max_syn_backlog
# tcp_synack_retries
# tcp_abort_on_overflow
# syncookie严重的违背TCP协议，不容许使用TCP扩展，可能对某些服务致使严重的性能影响(如SMTP转发)。(注意,该实现与BSD上面使用的tcp proxy同样,是违反了RFC中关于tcp链接的三次握手实现的,可是对于防护syn-flood的确颇有用。)
net.ipv4.tcp_syncookies = 0

# 使用TCP urg pointer字段中的主机请求解释功能。大部份的主机都使用老旧的BSD解释，所以若是您在Linux打开它﹐或会致使不能和它们正确沟通。
net.ipv4.tcp_stdurg = 0

# 对于那些依然还未得到客户端确认的链接请求﹐须要保存在队列中最大数目。对于超过128Mb内存的系统﹐默认值是1024﹐低于128Mb的则为128。若是服务器常常出现过载﹐能够尝试增长这个数字。警告﹗假如您将此值设为大于1024﹐最好修改include/net/tcp.h里面的 TCP_SYNQ_HSIZE﹐以保持TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog﹐而且编进核心以内。(SYN Flood***利用TCP协议散布握手的缺陷，伪造虚假源IP地址发送大量TCP-SYN半打开链接到目标系统，最终致使目标系统Socket队列资源耗 尽而没法接受新的链接。为了应付这种***，现代Unix系统中广泛采用多链接队列处理的方式来缓冲(而不是解决)这种***，是用一个基本队列处理正常的完 全链接应用(Connect()和Accept() )，是用另外一个队列单独存放半打开链接。这种双队列处理方式和其余一些系统内核措施(例如Syn-Cookies/Caches)联合应用时，可以比较有效的缓解小规模的SYN Flood***(事实证实<1000p/s)加大SYN队列长度能够容纳更多等待链接的网络链接数，因此对Server来讲能够考虑增大该值。)
net.ipv4.tcp_max_syn_backlog = 1024

# 该文件表示设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值，为1时表示可变，为0时表示不可变。tcp/ip一般使用的窗口最大可达到 65535字节，对于高速网络，该值可能过小，这时候若是启用了该功能，可使tcp/ip滑动窗口大小增大数个数量级，从而提升数据传输的能力(RFC 1323)。（对普通地百M网络而言，关闭会下降开销，因此若是不是高速网络，能够考虑设置为0）
net.ipv4.tcp_window_scaling = 1

# Timestamps用在其它一些东西中﹐能够防范那些伪造的sequence号码。一条1G的宽带线路或许会重遇到带out-of-line数值的旧 sequence号码(假如它是因为上次产生的)。Timestamp会让它知道这是个'旧封包'。(该文件表示是否启用以一种比超时重发更精确的方法（RFC 1323）来启用对RTT的计算；为了实现更好的性能应该启用这个选项。) 
net.ipv4.tcp_timestamps = 1

# 使用Selective ACK﹐它能够用来查找特定的遗失的数据报---所以有助于快速恢复状态。该文件表示是否启用有选择的应答（Selective Acknowledgment），这能够经过有选择地应答乱序接收到的报文来提升性能（这样可让发送者只发送丢失的报文段）。(对于广域网通讯来讲这个选项应该启用，可是这会增长对CPU的占用。)
net.ipv4.tcp_sack = 1

# 打开FACK拥塞避免和快速重传功能。(注意，当tcp_sack设置为0的时候，这个值即便设置为1也无效)
net.ipv4.tcp_fack = 1

# 容许TCP发送"两个彻底相同"的SACK。
net.ipv4.tcp_dsack = 1