Linux kernel 的使用问题-红联Linux系统门户

网络服务器由于要同时为多个客户提供服务，就必须使用某种方式来支持这种多任务的服务方式。一般情况下可以有三种方式来选择，多进程方式、多线程方式及异步方式。其中，多进程方式中服务器对一个客户要使用一个进程来提供服务，由于在操作系统中，生成一个进程需要进程内存复制等额外的开销，这样在客户较多时的性能就会降低。为了克服这种生成进程的额外开销，可以使用多线程方式或异步方式。在多线程方式中，使用进程中的多个线程提供服务，由于线程的开销较小，性能就会提高。事实上，不需要任何额外开销的方式还是异步方式，它使用非阻塞的方式与每个客户通信，服务器使用一个进程进行轮询就行了。异步方式下，多个任务之间的调度是由服务器程序自身来完成的，而且一旦一个地方出现问题则整个服务器就会出现问题，不在讨论的范围内。增大系统线程的数量：限制线程的数量的因素很多，主要有进程数量的限制，内存大小的限制，mutex/semaphore/shm/ipc的限制；一般情况下先增大进程最大数，再扩充内存，在增大线程最大数，而增大线程最大数的方法很简单，只需改变glibc中两处即可：线程最大数和线程堆栈区的大小；线程最大数的增加是以进程的异步I/O 性能下为代价；所以需要加以平衡。

络配置文件中有用的内容

1. 对于数据库而言，增大共享内存段和信号量的多少，对数据传输效率的提高起到很重要的作用；

方法：只需编辑文件linux/include/linux/sem.h和linux/include/asm-i386/shmparam.h即可。

2. 先增大进程最大数，再扩充内存，再增大线程最大数，而增大线程最大数的方法很简单，只需改变glibc中两处即可：线程最大数和线程堆栈区的大小；

3. 把"/etc/inittab"文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方，这非常重要。

编辑inittab文件（vi /etc/inittab）把这一行：

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

改为：

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

用下面的命令使改变生效：

[root@deep]# /sbin/init q

4. /etc/host.conf 文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个"/etc/host.conf"的示例：

order bind,hosts :指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询"/etc/hosts"文件(也可以相反)。

可以在该文件后加上以下两句：

multi on：指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

ospoof on：指不允许对该服务器进行IP地址欺骗，以提高服务器的安全性。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

可调谐的Linux内核网络参数

ICMP相关内核配置参数

概述：通常我们使用icmp包来探测目的主机上的其它协议（如tcp和udp）是否可用。比如包含"destination unreachable"信息的icmp包就是最常见的icmp包。

（1） icmp_destunreach_rate：设置内容为"Destination Unreachable"icmp包的响应速率。设置值应为整数。

应用实例：假设有A、B两部主机，首先我们在主机A上执行以下ipchains语句：

ipchains －A input -p icmp -j REJECT

这里的REJECT和DENY不同，DENY会丢掉符合条件的包如同没有接收到该包一样，而REJECT会在丢掉该包的同时给请求主机发回一个"Destination Unreachable"的icmp。

然后在主机B上ping主机A，这时候我们会发现"Destination Unreachable"icmp包的响应速度是很及时的。接着我们在主机A上执行：

echo "1000" > /proc/sys/net/ipv4/icmp_destunreach_rate

也即每10秒钟响应一个"Destination Unreachable"的icmp包。

这时候再从主机B上ping主机A就会发现"Destination Unreachable"icmp包的响应速度已经明显变慢，我很好奇的测试了一下，发现刚好是每10秒响应一次。

（2）icmp_echo_ignore_broadcasts：设置是否响应icmp echo请求广播，设置值应为布尔值，0表示响应icmp echo请求广播，1表示忽略。

注意：windows系统是不响应icmp echo请求广播的。

应用实例：

在我的RedHat6.x和RedHat7上该值缺省为0，这样当有个用户ping我的服务器所在的网段的网络地址时，所有的linux服务器就会响应，从而也能让让该用户得到我的服务器的ip地址，可以执行

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

来关闭该功能。从而防止icmp风暴，防止网络阻塞。

（3）icmp_echoreply_rate:设置系统响应icmp echo请求的icmp包的响应速度，设置值为整数。

应用实例：

假设有A、B两部主机，首先我们在主机B上ping主机A，可以看到响应很正常，然后在主机A上执行

echo "1000" > /proc/sys/net/ipv4/icmp_echoreply_rate

也即每10秒钟响应一个icmp echo请求包。然后再ping主机A就可以看到响应速度已经变成10秒一次。

最好合理的调整该参数的值来防止icmp风暴。

（4）icmp_echo_ignore_all:设置系统是否忽略所有的icmp echo请求，如果设置了一个非0值，系统将忽略所有的icmp echo请求。其实这是icmp_echoreply_rate的一种极端情况。参数值为布尔值，1：表示忽略，0：表示响应。

（5）icmp_paramprob_rate：当系统接收到数据报的损坏的ip或tcp头时，就会向源发出一个包含有该错误信息的icmp包。这个参数就是用来设置向源发送这种icmp包的速度。当然，在通常情况下ip或tcp头出错是很少见的。参数值为整数。

（6） icmp_timeexceed_rate：数据报在网络上传输时，其生存时间（time to live）字段会不断减少，当生存时间为0时，正在处理该数据报的路由器就会丢弃该数据报，同时给源主机发送一个"time to live exceeded"的icmp包。该参数就是用来设置这种icmp包的发送的速度。当然，这通常用于充当路由器的linux主机。

IP相关内核配置参数

linux内核网络参数中关于ip的配置参数通常是用来定义或调整ip包的一些特定的参数，除此之外还定义了系统的一些网络特性。

（1） ip_default_ttl：设置从本机发出的ip包的生存时间，参数值为整数，范围为0～128,缺省值为64。在windows系统中，ip包的生存时间通常为128。如果你的系统经常得到"Time to live exceeded"的icmp回应，可以适当增大该参数的值，但是也不能过大，因为如果你的路由坏路的话，就会增加系统报错的时间。

（2） ip_dynaddr：该参数通常用于使用拨号连接的情况，可以使系统能够立即改变ip包的源地址为该ip地址，同时中断原有的tcp对话而用新地址重新发出一个syn请求包，开始新的tcp对话。在使用ip欺骗时，该参数可以立即改变伪装地址为新的ip地址。该参数的参数值可以是：

1：启用该功能
2：使用冗余模式启用该功能
0：禁止该功能

应用实例：在使用ipchains配置ip欺骗带动局域网共享一个ppp连接上网时，有时会出现刚开时连接一个站点连不通，再次刷新又可以连接的情况，这时候就可以设置该参数的值为1，从而立即改变伪装地址为新的ip地址，就可以解决这类问题。命令为：

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

（3）ip_forward：可以通过该参数来启用包转发功能，从而使系统充当路由器。参数值为1时启用ip转发，为0时禁止ip转发。注意，我们可以在单网卡或双网卡的主机上实现ip转发。

应用实例：

假设我们使用一部装有双网卡的linux主机充当防火墙，这时候我们就必须执行以下命令来打开ip转发功能：

echo "1" > /proc/sys/net/ipv4/ip_forward

(4) ip_local_port_range：设置当本地系统向外发起tcp或udp连接请求时使用的端口范围。设置值为两个整数，缺省为"1024 4999"。

应用实例：

echo "1450 6000" > /proc/sys/net/ipv4/ip_local_port_range

tcp相关内核配置参数

通过tcp配置参数可以控制tcp会话过程中的各个方面。

(1) tcp_fin_timeout：在一个tcp会话过程中，在会话结束时，A首先向B发送一个fin包，在获得B的ack确认包后，A就进入FIN WAIT2状态等待B的fin包然后给B发ack确认包。这个参数就是用来设置A进入FIN WAIT2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。参数值为整数，单位为秒，缺省为180秒。

(2) tcp_syn_retires：设置开始建立一个tcp会话时，重试发送syn连接请求包的次数。参数值为小于255的整数，缺省值为10。假如你的连接速度很快，可以考虑降低该值来提高系统响应时间，即便对连接速度很慢的用户，缺省值的设定也足够大了。

(3) tcp_window_scaling：设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值，为1时表示可变，为0时表示不可变。Tcp/ip 通常使用的窗口最大可达到65535字节，对于高速网络，该值可能太小，这时候如果启用了该功能，可以使tcp/ip滑动窗口大小增大数个数量级，从而提高数据传输的能力。

针对每一网络接口的内核网络参数

通过针对每一网络接口的内核网络参数，你可以为诸如eth0、eth1等具体的网络接口指定响应的内核网络参数。注意：/proc/sys/net/ipv4/conf/all/下的参数将应用于所有的网络接口。

(1) accept_redirects：该参数位于/proc/sys/net/ipv4/conf/DEV/accept_redirects（DEV表示具体的网络接口），如果你的主机所在的网段中有两个路由器，你将其中一个设置成了缺省网关，但是该网关在收到你的ip包时发现该ip包必须经过另外一个路由器，这时这个路由器就会给你发一个所谓的"重定向"icmp包，告诉将ip包转发到另外一个路由器。参数值为布尔值，1表示接收这类重定向icmp 信息，0表示忽略。在充当路由器的linux主机上缺省值为0，在一般的linux主机上缺省值为1。建议将其改为0，或者使用"安全重定向"（见下文）以消除安全性隐患。

(2) log_martians：将包含非法地址信息的ip包记录到内核日志。参数值为布尔值。

应用实例：

上面我们讲过rp_filter反向路径过滤参数，同时我们可以执行下面的语句

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

然后就可以将进行ip假冒的ip包记录到/var/log/messages。

(3) forwarding：启用特定网络接口的ip转发功能。参数值为布尔值，1表示进行记录。

应用实例：

echo "1" > /proc/sys/net/ipv4/conf/eth0/forwarding

(4) accept_source_route：是否接受含有源路由信息的ip包。参数值为布尔值，1表示接受，0表示不接受。在充当网关的linux主机上缺省值为1，在一般的linux主机上缺省值为0。从安全性角度出发，建议你关闭该功能。

(5) secure_redirects：前面我们已经提到过"安全重定向"的概念，其实所谓的"安全重定向"就是只接受来自网关的"重定向"icmp包。该参数就是用来设置"安全重定向"功能的。参数值为布尔值，1表示启用，0表示禁止，缺省值为启用。

(6) proxy_arp：设置是否对网络上的arp包进行中继。参数值为布尔值，1表示中继，0表示忽略，缺省值为0。该参数通常只对充当路由器的linux主机有用。

改变有关系统缺省参数限制

1. _SHM_ID_BITS：在/usr/src/linux/include/asm/shmparam.h文件中定义了该值；

作用：定义共享内存段表识的数量；其缺省值为7，变化范围：1-128；

调谐：可将该值增大到9,需重新编译内核；

2. MSGMNI：/proc/sys/kernel/msgmni文件中定义了该值；

作用：该值定义了消息队列的最大长度；要使db2（7.1版）正常运行，其最小值为128；

对于高负荷的DB2服务器，可将该值调整为 >= 1024；

调谐：对于2.4.6版本的内核，其缺省值为16；可用以下三中方法改变该值

（1） bash# sysctl -w kernel.msgmni=128

（2） bash# sysctl -w kernel.msgmni=128

（3）如果要在系统启动时改变该值，可在/etc/sysctl.conf文件中加入以下几句：

# Sets maximum number of message queues to 128
# Set this to 1024 or higher on production systems
kernel.msgmni = 128

（用ipcs -l 命令来查看当前ipc 参数的各种设置）

3. NR_TASKS：/usr/src/linux/include/linux/tasks.h文件中定义了该

MAX_TASKS_PER_USER被定义为NR_TASKS/2；linux 将DB2的每个实例看作用户，每个连结一般都使用一个进程，而每个实例的最大连结数被限制为NR_TASKS/2；尽管2.4的内核对该值无限制，但有linux该缺省值仍为512；

调谐：>= 1024, 重新编译内核；

4. SEMMNI：/usr/src/linux/include/linux/sem.h 文件中定义了该值；

作用：该值定义了linux所能支持的最大信号量表识；

调谐：其缺省值为128，增大到1024；

从IPV4过渡到IPV6

尽管IPv6比IPv4具有明显的先进性，要想在短时间内将Internet和各个企业网络中的所有系统全部从IPv4升级到 IPv6是不可能的。为此，做为IPv6研究工作的一个部分，IETF制定了推动IPv4向IPv6过渡的方案，其中包括三个机制：兼容IPv4的 IPv6地址、双IP协议栈和基于IPv4通道的IPv6。

兼容IPv4的IPv6地址是一种特殊的IPv6单点广播地址，一个 IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。这种地址是由96个0位加上32位IPv4地址组成的，例如，假设某节点的 IPv4地址是192.56.1.1，那么兼容IPv4的IPv6地址就是：

0: 0:0:0:0:0:C038:101。

双 IP协议栈是在一个系统（如一个主机或一个路由器）中同时使用IPv4和IPv6两个协议栈。这类系统既拥有IPv4地址，也拥有IPv6地址，因而可以收发IPv4和IPv6两种IP数据报。也就是用两套，需要使用IPv4的时候就使用IPv4，需要使用IPv6的时候就使用IPv6。

与双IP协议栈相比，基于IPv4通道的IPv6是一种更为复杂的技术，它是将整个IPv6数据报封装在IPv4数据报中，由此实现在当前的IPv4网络（如Internet）中IPv6节点与IPv4节点之间的IP通信。基于IPv4通道的IPv6实现过程分为三个步骤：封装、解封和通道管理。封装，是指由通道起始点创建一个IPv4包头，将IPv6数据报装入一个新的IPv4数据报中。解封，是指由通道终结点移去IPv4包头，还原原始的IPv6数据报。通道管理，是指由通道起始点维护通道的配置信息。IPv4通道有四种方案：路由器对路由器、主机对路由器、主机对主机、路由器对主机。

当进行通信的两个主机都有兼容IPv4的IPv6地址时，数据发送方主机将建立一个主机对主机通道。通道起始点（数据发送方主机）确定数据接收方主机就是通道终结点，并自动从其兼容IPv4的IPv6地址中抽取后32个地址位以确定通道终结点的IPv4地址，这种类型的通道被称为自动通道（automated tunneling）。

双IP协议栈和基于IPv4通道的IPv6网络使IPv4网络能够以可控的速度向 IPv6迁移。在开始向IPv6过渡之前，必须设置一个同时支持IPv4和IPv6的新的DNS服务器。有关设置或关于IPv6更多的详细内容可访问 IPv6相关网站。我们在这里仅为在Linux下使用IPV6提供一种简单的理论叙述。

小结
至此，我们已经详细介绍了Linux系统的网络性能调谐方面的内容，包括网络调谐测试工具的使用方法及其可实现的功能，网络配置文件解析，网络性能调谐方法等。您对这系列文章有什么想法，请直接在下面留言。如果您对网络调谐技术有更好的见解，欢迎您来稿。

Linux kernel 的使用问题

共有 0 条评论

频道文章

最新教程

随机推荐