Linux 如何优化 IP 连接数

要查看 Linux 系统当前的 IP 连接数,可以使用以下命令:

netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,state[key]}'

该命令会列出当前 TCP 连接的状态及其数量。这可以帮助我们了解系统的连接状况。

要优化 Linux 系统的 IP 连接数,可以修改以下内核参数:

# 设置最大 TCP 连接数net.ipv4.tcp_max_syn_backlog = 8192net.core.somaxconn = 8192# 设置 TIME_WAIT 连接的最大数量net.ipv4.tcp_max_tw_buckets = 4096net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1

上述参数可以大幅提高系统的并发连接能力。需要注意的是,修改这些参数需要谨慎,因为它们可能会影响系统的稳定性。

通过优化 Linux 系统的 IP 连接数,可以显著提高系统的并发处理能力。需要了解当前的连接状况,调整相关内核参数来提升系统的性能。但在修改这些参数时,需要充分考虑系统的实际需求和可能产生的影响。

---

一般优化linux的内核，需要优化什么参数

Sysctl命令及linux内核参数调整

一、Sysctl命令用来配置与显示在/proc/sys目录中的内核参数．如果想使参数长期保存，可以通过编辑/etc/文件来实现。

命令格式：

sysctl [-n] [-e] -w variable=value

sysctl [-n] [-e] -p (default /etc/)

sysctl [-n] [-e] –a

常用参数的意义：

-w 临时改变某个指定参数的值，如

# sysctl -w _forward=1

-a 显示所有的系统参数

-p从指定的文件加载系统参数,默认从/etc/ 文件中加载，如：

# echo 1 > /proc/sys/net/ipv4/ip_forward

# sysctl -w _forward=1

以上两种方法都可能立即开启路由功能，但如果系统重启，或执行了

# service network restart

命令，所设置的值即会丢失，如果想永久保留配置，可以修改/etc/文件，将 _forward=0改为_forward=1

二、linux内核参数调整：linux 内核参数调整有两种方式

方法一：修改/proc下内核参数文件内容，不能使用编辑器来修改内核参数文件，理由是由于内核随时可能更改这些文件中的任意一个，另外，这些内核参数文件都是虚拟文件，实际中不存在，因此不能使用编辑器进行编辑，而是使用echo命令，然后从命令行将输出重定向至 /proc 下所选定的文件中。如：将 timeout_timewait 参数设置为30秒：

# echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

参数修改后立即生效，但是重启系统后，该参数又恢复成默认值。因此，想永久更改内核参数，需要修改/etc/文件

方法二．修改/etc/文件。 检查文件，如果已经包含需要修改的参数，则修改该参数的值，如果没有需要修改的参数，在文件中添加参数。 如：

_fin_timeout=30

保存退出后，可以重启机器使参数生效，如果想使参数马上生效，也可以执行如下命令：

三、 文件中参数设置及说明

proc/sys/net/core/wmem_max

最大socket写buffer,可参考的优化值

/proc/sys/net/core/rmem_max

最大socket读buffer,可参考的优化值

/proc/sys/net/ipv4/tcp_wmem

TCP写buffer,可参考的优化值: 8192

/proc/sys/net/ipv4/tcp_rmem

TCP读buffer,可参考的优化值:

/proc/sys/net/ipv4/tcp_mem

同样有3个值,意思是:

_mem[0]:低于此值,TCP没有内存压力.

_mem[1]:在此值下,进入内存压力阶段.

_mem[2]:高于此值,TCP拒绝分配socket.

上述内存单位是页,而不是字节.可参考的优化值是

/proc/sys/net/core/netdev_max_backlog

进入包的最大设备队列.默认是300,对重负载服务器而言,该值太低,可调整到1000

/proc/sys/net/core/somaxconn

listen()的默认参数,挂起请求的最大数量.默认是128.对繁忙的服务器,增加该值有助于网络性能.可调整到256.

/proc/sys/net/core/optmem_max

socket buffer的最大初始化值,默认10K

/proc/sys/net/ipv4/tcp_max_syn_backlog

进入SYN包的最大请求队列.默认1024.对重负载服务器,可调整到2048

/proc/sys/net/ipv4/tcp_retries2

TCP失败重传次数,默认值15,意味着重传15次才彻底放弃.可减少到5,尽早释放内核资源.

/proc/sys/net/ipv4/tcp_keepalive_time

/proc/sys/net/ipv4/tcp_keepalive_intvl

/proc/sys/net/ipv4/tcp_keepalive_probes

这3个参数与TCP KeepAlive有关.默认值是:

tcp_keepalive_time = 7200 seconds (2 hours)

tcp_keepalive_probes = 9

tcp_keepalive_intvl = 75 seconds

意思是如果某个TCP连接在idle 2个小时后,内核才发起probe.如果probe 9次(每次75秒)不成功,内核才彻底放弃,认为该连接已失效.对服务器而言,显然上述值太大. 可调整到:

/proc/sys/net/ipv4/tcp_keepalive_time 1800

/proc/sys/net/ipv4/tcp_keepalive_intvl 30

/proc/sys/net/ipv4/tcp_keepalive_probes 3

/proc/sys/net/ipv4/ip_local_port_range

指定端口范围的一个配置,默认是 ,已够大.

_syncookies = 1

表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；

_tw_reuse = 1

表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；

_tw_recycle = 1

表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。

_fin_timeout = 30

表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。

_keepalive_time = 1200

表示当keepalive起用的时候，TCP发送keepalive消息的频度。 缺省是2小时，改为20分钟。

_local_port_range = 1024

表示用于向外连接的端口范围。 缺省情况下很小到，改为1024到。

_max_syn_backlog = 8192

表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。

_max_tw_buckets = 5000

表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。 默认为 ，改为 5000。 对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于Squid，效果却不大。 此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死。

Linux上的NAT与iptables

谈起Linux上的NAT，大多数人会跟你提到iptables。 原因是因为iptables是目前在linux上实现NAT的一个非常好的接口。 它通过和内核级直接操作网络包，效率和稳定性都非常高。 这里简单列举一些NAT相关的iptables实例命令，可能对于大多数实现有多帮助。

这里说明一下，为了节省篇幅，这里把准备工作的命令略去了，仅仅列出核心步骤命令，所以如果你单单执行这些没有实现功能的话，很可能由于准备工作没有做好。 如果你对整个命令细节感兴趣的话，可以直接访问我的《如何让你的Linux网关更强大》系列文章，其中对于各个脚本有详细的说明和描述。

# 案例1：实现网关的MASQUERADE

# 具体功能：内网网卡是eth1，外网eth0，使得内网指定本服务做网关可以访问外网

EXTERNAL=eth0

INTERNAL=eth1

# 这一步开启ip转发支持，这是NAT实现的前提

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

# 案例2：实现网关的简单端口映射

# 具体功能：实现外网通过访问网关的外部ip:80，可以直接达到访问私有网络内的一台主机192.168.1.10:80效果

LOCAL_EX_IP=11.22.33.44 #设定网关的外网卡ip，对于多ip情况，参考《如何让你的Linux网关更强大》系列文章

LOCAL_IN_IP=192.168.1.1 #设定网关的内网卡ip

INTERNAL=eth1 #设定内网卡

# 这一步开启ip转发支持，这是NAT实现的前提

echo 1 > /proc/sys/net/ipv4/ip_forward

# 加载需要的ip模块，下面两个是ftp相关的模块，如果有其他特殊需求，也需要加进来

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

# 这一步实现目标地址指向网关外部ip:80的访问都吧目标地址改成192.168.1.10:80

iptables -t nat -A PREROUTING -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10

# 这一步实现把目标地址指向192.168.1.10:80的数据包的源地址改成网关自己的本地ip，这里是192.168.1.1

iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to $LOCAL_IN_IP

# 在FORWARD链上添加到192.168.1.10:80的允许，否则不能实现转发

iptables -A FORWARD -o $INTERNAL -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT

# 通过上面重要的三句话之后，实现的效果是，通过网关的外网ip:80访问，全部转发到内网的192.168.1.10:80端口，实现典型的端口映射

# 特别注意，所有被转发过的数据都是源地址是网关内网ip的数据包，所以192.168.1.10上看到的所有访问都好像是网关发过来的一样，而看不到外部ip

# 一个重要的思想：数据包根据“从哪里来，回哪里去”的策略来走，所以不必担心回头数据的问题

# 现在还有一个问题，网关自己访问自己的外网ip:80，是不会被NAT到192.168.1.10的，这不是一个严重的问题，但让人很不爽，解决的方法如下：

iptables -t nat -A OUTPUT -d $LOCAL_EX_IP -p tcp --dport 80 -j DNAT --to 192.168.1.10

获取系统中的NAT信息和诊断错误

了解/proc目录的意义

在Linux系统中，/proc是一个特殊的目录，proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。 它包含当前系统的一些参数（variables）和状态（status）情况。 它以文件系统的方式为访问系统内核数据的操作提供接口

通过/proc可以了解到系统当前的一些重要信息，包括磁盘使用情况，内存使用状况，硬件信息，网络使用情况等等，很多系统监控工具（如HotSaNIC）都通过/proc目录获取系统数据。

另一方面通过直接操作/proc中的参数可以实现系统内核参数的调节，比如是否允许ip转发，syn-cookie是否打开，tcp超时时间等。

获得参数的方式：

第一种：cat /proc/xxx/xxx，如 cat /proc/sys/net/ipv4/conf/all/rp_filter

第二种：sysctl，如 sysctl _filter

改变参数的方式：

第一种：echo value > /proc/xxx/xxx，如 echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

第二种：sysctl [-w] variable=value，如 sysctl [-w] _filter=1

以上设定系统参数的方式只对当前系统有效，重起系统就没了，想要保存下来，需要写入/etc/文件中

通过执行 man 5 proc可以获得一些关于proc目录的介绍

查看系统中的NAT情况

和NAT相关的系统变量

/proc/slabinfo：内核缓存使用情况统计信息（Kernel slab allocator statistics）

/proc/sys/net/ipv4/ip_conntrack_max：系统支持的最大ipv4连接数，默认（事实上这也是理论最大值）

/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established 已建立的tcp连接的超时时间，默认，也就是5天

和NAT相关的状态值

/proc/net/ip_conntrack：当前的前被跟踪的连接状况，nat翻译表就在这里体现（对于一个网关为主要功能的Linux主机，里面大部分信息是NAT翻译表）

/proc/sys/net/ipv4/ip_local_port_range：本地开放端口范围，这个范围同样会间接限制NAT表规模

# 1. 查看当前系统支持的最大连接数

cat /proc/sys/net/ipv4/ip_conntrack_max

# 值：默认，同时这个值和你的内存大小有关，如果内存128M，这个值最大8192，1G以上内存这个值都是默认

# 影响：这个值决定了你作为NAT网关的工作能力上限，所有局域网内通过这台网关对外的连接都将占用一个连接，如果这个值太低，将会影响吞吐量

# 2. 查看tcp连接超时时间

cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

# 值：默认（秒），也就是5天

# 影响：这个值过大将导致一些可能已经不用的连接常驻于内存中，占用大量链接资源，从而可能导致NAT ip_conntrack: table full的问题

# 建议：对于NAT负载相对本机的 NAT表大小很紧张的时候，可能需要考虑缩小这个值，以尽早清除连接，保证有可用的连接资源；如果不紧张，不必修改

# 3. 查看NAT表使用情况（判断NAT表资源是否紧张）

# 执行下面的命令可以查看你的网关中NAT表情况

cat /proc/net/ip_conntrack

# 4. 查看本地开放端口的范围

cat /proc/sys/net/ipv4/ip_local_port_range

# 返回两个值，最小值和最大值

# 下面的命令帮你明确一下NAT表的规模

wc -l /proc/net/ip_conntrack

#或者

grep ip_conntrack /proc/slabinfo | grep -v expect | awk {print $1 , $2;}

# 下面的命令帮你明确可用的NAT表项，如果这个值比较大，那就说明NAT表资源不紧张

grep ip_conntrack /proc/slabinfo | grep -v expect | awk {print $1 , $3;}

# 下面的命令帮你统计NAT表中占用端口最多的几个ip，很有可能这些家伙再做一些bt的事情，嗯bt的事情:-)

cat /proc/net/ip_conntrack | cut -d -f 10 | cut -d = -f 2 | sort | uniq -c | sort -nr | head -n 10

# 上面这个命令有点瑕疵cut -d -f10会因为命令输出有些行缺项而造成统计偏差，下面给出一个正确的写法：

cat /proc/net/ip_conntrack | perl -pe s/^\(.*?\)src/src/g | cut -d -f1 | cut -d = -f2 | sort | uniq -c | sort -nr | head -n 10

Linux 的 TCP 连接数量最大不能超过 65535？那服务器是如何应对百万千万的并发的？

最大并发TCP连接数是多少呢？首先，问题中描述的个连接指的是客户端连接数的限制。 在TCP应用中，server事先在某个固定端口监听，client主动发起连接，经过三次握手后建立TCP连接。 那么对单机，其最大并发TCP连接数是多少呢？系统用一个4四元组来唯一标识一个TCP连接：{localip, localport, remoteip, remoteport} = {本地ip，本地port，远程ip，远程port}。 在确定最大连接数之前，先来看看系统如何标识一个tcp连接。 client每次发起tcp连接请求时，除非绑定端口，通常会让系统选取一个空闲的本地端口（local port），该端口是独占的，不能和其他tcp连接共享。 因此，一个client最大tcp连接数为，这些连接可以连到不同的serverip。 server通常固定在某个本地端口上监听，等待client的连接请求。 不考虑地址重用（unix的SO_REUSEADDR选项）的情况下，即使server端有多个ip，本地监听端口也是独占的，因此server端tcp连接4元组中只有remoteip（也就是clientip）和remote port（客户端port）是可变的。 因此，最大tcp连接为客户端ip数×客户端port数。 对IPV4，不考虑ip地址分类等因素，最大tcp连接数约为2的32次方（ip数）×2的16次方（port数），也就是server端单机最大tcp连接数约为2的48次方。 上面给出的是理论上的单机最大连接数，在实际环境中，受到机器资源、操作系统等的限制，特别是sever端，其最大并发tcp连接数远不能达到理论上限。 在unix/linux下限制连接数的主要因素是内存和允许的文件描述符个数（每个tcp连接都要占用一定内存，每个socket就是一个文件描述符），另外1024以下的端口通常为保留端口。 因此，对server端，通过增加内存、修改最大文件描述符个数等参数，单机最大并发TCP连接数超过10万,甚至上百万是没问题的。 是指可用的端口总数，并不代表服务器同时只能接受个并发连接。 即使Linux服务器只在80端口侦听服务， 也允许有10万、100万个用户连接服务器。 Linux系统不会限制连接数至于服务器能不能承受住这么多的连接，取决于服务器的硬件配置、软件架构及优化。 服务器的并发数并不是由TCP的个端口决定的。 服务器同时能够承受的并发数是由带宽、硬件、程序设计等多方面因素决定的。 所以也就能理解淘宝、腾讯、头条、网络、新浪、哔哔哔哔等为什么能够承受住每秒种几亿次的并发访问，是因为他们采用的是服务器集群。 服务器集群分布在全国各地的大型机房，当访问量小的时候会关闭一些服务器，当访问量大的时候回不断的开启新的服务器。 从哪来的，干啥的？在Linux系统中，如果两个机器要通信，那么相互之间需要建立TCP连接，为了让双方互相认识，Linux系统用一个四元组来唯一标识一个TCP连接：{local ip, local port, remote ip, remote port}，即本机IP、本机端口、远程IP、远程端口，IP和端口就相当于小区地址和门牌号，只有拿到这些信息，通信的双方才能互相认知。 在Linux系统中，表示端口号（port）的变量占16位，这就决定了端口号最多有2的16次方个，即个，另外端口0有特殊含义不给使用，这样每个服务器最多就有个端口可用。 因此，代表Linux系统支持的TCP端口号数量，在TCP建立连接时会使用。

LinuxCPU占用率的管理与优化linux占用率

Linux CPU占用率的管理与优化Linux是世界上最受欢迎的操作系统之一，它的性能优越，执行速度快，稳定性强。 然而，Linux CPU的占用率也会发生变化，影响服务器性能，大大影响了用户的使用体验。 因此，Linux CPU占用率的管理与优化尤为重要。 Linux CPU占用率的管理与优化可以从以下几个方面来考虑：1.检查系统中存在的问题：可以使用”uptime” 命令检查系统当前CPU占用率，可以使用“top” 命令实时监控进程，找出原因高CPU占用的程序，以及这些进程正在做什么。 2.关闭不必要的服务和程序：可以使用“service”命令管理和停止Linux中的服务，以及使用“Pkill”命令来结束程序。 3.调整Linux内核参数：可以使用“sysctl -p”命令调整Linux内核参数，如NFS的Time_wait的设置，提高网络性能，减少TCP/IP连接状态等待时间，减少CPU使用率。 4.更新和重定向缓存：可以使用“sync” 命令改善文件系统Caching行为，重定向软硬件缓存，提高性能，减少CPU使用率。 5.升级Linux内核版本：新版本的Linux内核可以优化程序，实现更高的效率，同时减少对CPU的占用率。 6.根据系统负载增加CPU和内存：当系统负载较大时，可以增加服务器CPU和内存的大小，以提高性能，减少CPU的使用率。 以上就是Linux CPU占用率的管理与优化的常用方法，通过调整Linux内核参数、关闭不需要的服务等操作可以有效地降低CPU占用率，提高Linux系统性能，提升用户体验。