AIX网络调优参数.docx
- 文档编号:27425612
- 上传时间:2023-06-30
- 格式:DOCX
- 页数:13
- 大小:19.20KB
AIX网络调优参数.docx
《AIX网络调优参数.docx》由会员分享,可在线阅读,更多相关《AIX网络调优参数.docx(13页珍藏版)》请在冰豆网上搜索。
AIX网络调优参数
sb_max可调参数
sb_max可调参数在排队至个别套接字的套接字缓冲区的数目上设置一个上限,这样就可以控制被排队至发送方的套接字或接收方的套接字的缓冲区消耗多少缓存空间。
系统基于缓冲区大小考虑了使用的套接字缓冲区,而不是基于缓冲区的内容。
如果一个设备驱动程序将100字节的数据放至2048字节缓冲区,系统就会考虑使用套接字缓冲区空间的2048字节。
对设备驱动来说,将接收的各个缓冲区放入一个缓冲区是很常见的,后一个缓冲区必须足够大,能够接收适配器最大的信息包。
这常常会造成缓冲空间的浪费,但如果将数据复制到小一点的缓冲区中可能会需要更多的CPU循环。
注:
在AIX®中,sb_max可调参数的缺省值是1048576(非常大了)。
您不应该更改此值,除非有保存内核mbuf内存的需要,例如在32位内核中。
如果您想要更改sb_max参数,有关此参数建议使用的值,请参阅上面的表格。
udp_recvspace可调参数
udp_recvspace可调参数控制排列在每个UDP套接字上的入局数据的大量空间。
一旦套接字达到udp_recvspace限制,就会废弃入局包。
在netstat-pudp命令输出中的socketbufferoverflows列下详细显示了丢弃包的统计信息。
有关更多信息,请参阅《AIX5LV5.3命令参考大全,卷4》中的netstat命令。
您应该将udp_recvspace可调参数的值设置得很高,这是由于多个UDP数据报可能到达并且在套接字上等待该应用程序来读取它们的情况造成的。
许多UDP应用程序也可使用特殊的套接字接收信息包。
使用此套接字从与该服务器应用程序会话的所有客户机中接收信息包。
因此,必须有足够大的接收空间来处理数据报的脉冲串(可能从多个客户机到达并且被排列在套接字上等待被读取)。
如果此值太低,就会废弃入局信息包并且发送方必须重新发送该包。
这可能造成性能降低。
因为通信子系统考虑了使用的缓冲区,但没有考虑缓冲区的内容,所以在设定udp_recvspace时必须考虑。
例如,将会将一个8KB数据报分割成6个信息包(将会用6个接收缓冲区)。
对以太网来说可能会是2048字节的缓冲区。
所以,此8KB数据报消耗的套接字缓冲区的总数如下:
6*2048=12,288字节
因而,您可以看出udp_recvspace必须根据接入的缓冲区的效率调整为较高的值。
这可能改变一个数据报大小,由设备驱动来完成。
发送64字节数据报将会为每个64字节数据报消耗2KB缓冲区。
然后,您必须说明在这个套接字上排队的数据报的数量。
比如,NFS服务器在一个众所周知的套接字上从所有客户端接收到UDP信息包。
如果此套接字队列深度能够是30个信息包,那么如果NFS正使用8KB数据报,您就可以将30*12,288=368,640用于udp_recvspace。
NFSV3允许最多32KB数据报。
udp_recvspace的推荐初始值为udp_sendspace值的10倍,因为UDP可能不能在另一个信息包到达之前将这个信息包传送给应用程序。
而且,一些节点可以同时到一个节点。
要提供一些分级空间,这个大小就要设置得在删除后面的信息包之前能够允许10个信息包进行分级。
对于使用UDP的大的并行应用程序,这个值可能必须增加。
注:
sb_max的值,指定了每个套接字缓冲区的最大套接字缓冲区大小,应该至少是UDP和TCP发送/接收缓冲区最大值的两倍。
AIXSecurityExpert调优网络选项组
将网络选项调优至合适的值是安全性的主要部分。
将网络属性设置为0将禁用该选项,而将网络属性设置为1则将启用该选项。
下表列出了高、中、低安全性级别的网络属性设置。
该表还描述了任一特定网络选项的建议值是如何帮助确保网络安全性的。
表1.AIX®SecurityExpert网络安全性的调优网络选项
操作按钮名称
描述
由AIXSecurityExpert设置的值
可撤销
Networkoptionipsrcrouteforward
用于指定系统是否转发源路由包。
禁用ipsrcrouteforward可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
无效
AIXStandardSettings
1
是
Networkoptionipignoreredirects
用于指定是否处理接收到的重定向。
HighLevelSecurity
1
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
无限
是
Networkoptionclean_partial_conns
指定是否要避免同步字符(SYN)攻击。
HighLevelSecurity
1
MediumLevelSecurity
1
LowLevelSecurity
1
AIXStandardSettings
无限制
是
Networkoptionipsrcrouterecv
指定系统是否接受源路由包。
禁用ipsrcrouterecv可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
无限制
是
Networkoptionipforwarding
用于指定内核是否应转发包。
禁用ipforwarding可阻止重定向的包访问远程网络。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
无限制
是
Networkoptionipsendredirects
用于指定内核是否应发送重定向信号。
禁用ipsendredirects可阻止重定向的包访问远程网络。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
1
是
Networkoptionip6srcrouteforward
用于指定系统是否转发源路由IPv6包。
禁用ip6srcrouteforward可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
1
是
Networkoptiondirected_broadcast
用于指定是否允许对网关进行定向广播。
禁用directed_broadcast有助于阻止定向包访问远程网络。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
0
AIXStandardSettings
无限制
是
Networkoptiontcp_pmtu_discover
用于启用或禁用TCP应用程序的路径MTU发现。
禁用tcp_pmtu_discover可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
0
AIXStandardSettings
1
是
Networkoptionbcastping
用于允许对发送给广播地址的ICMP回传包作出响应。
禁用bcastping可阻止smurf攻击。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
0
AIXStandardSettings
无限制
是
Networkoptionicmpaddressmask
用于指定系统是否响应ICMP地址掩码请求。
禁用icmpaddressmask可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
0
AIXStandardSettings
无限制
是
Networkoptionudp_pmtu_discover
用于启用或禁用UDP应用程序的路径最大传输单元(MTU)发现。
禁用udp_pmtu_discover可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
0
LowLevelSecurity
0
AIXStandardSettings
1
是
Networkoptionipsrcroutesend
用于指定应用程序是否可发送源路由包。
禁用ipsrcroutesend可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
1
是
Networkoptionnonlocsrcroute
用于指定因特网协议是否严格将源路由包传送至本地网络以外的主机。
禁用nonlocsrcroute可阻止通过源路由攻击进行访问。
HighLevelSecurity
0
MediumLevelSecurity
无效
LowLevelSecurity
无效
AIXStandardSettings
无限制
是
以下网络选项与网络性能相关,而与网络安全性无关。
表2.AIXSecurityExpert网络性能的调优网络选项
操作按钮名称
描述
由AIXSecurityExpert设置的值
可撤销
Networkoptionrfc1323
rfc1323可调选项将启用TCP窗口缩放选项。
HighLevelSecurity
1
MediumLevelSecurity
1
LowLevelSecurity
1
AIXStandardSettings
无限制
是
Networkoptiontcp_sendspace
tcp_sendspace可调选项指定了因传送调用阻断应用程序前,内核传送应用程序可缓冲的数据量。
HighLevelSecurity
262144
MediumLevelSecurity
262144
LowLevelSecurity
262144
AIXStandardSettings
16384
是
Networkoptiontcp_mssdflt
与远程网络通信时使用的缺省最大段大小。
HighLevelSecurity
1448
MediumLevelSecurity
1448
LowLevelSecurity
1448
AIXStandardSettings
1460
是
Networkoptionextendednetstats
用于为网络内存服务启用更广泛的数据统计。
HighLevelSecurity
1
MediumLevelSecurity
1
LowLevelSecurity
1
AIXStandardSettings
无限制
是
Networkoptiontcp_recvspace
tcp_recvspace可调选项指定了接收系统可在内核的接收套接字队列中缓存多少字节的数据。
HighLevelSecurity
262144
MediumLevelSecurity
262144
LowLevelSecurity
262144
AIXStandardSettings
16384
是
Networkoptionsb_max
sb_max可调选项设置了单个套接字中可排的套接字缓冲区数量上限,它控制着向发送方或接收方套接字排队的缓冲区可占用多少缓冲区空间。
HighLevelSecurity
1048576
MediumLevelSecurity
1048576
LowLevelSecurity
1048576
AIXStandardSettings
1048576
是
网络服务选项摘要
为使系统安全性达到较高级别,可以使用0禁用和1启用来更改几个网络选项。
以下列表标识了下列可以用于no命令的参数。
参数
命令
用途
bcastping
/usr/sbin/no-obcastping=0
允许以广播地址响应ICMP回送信息包。
禁用它来防止Smurf攻击。
clean_partial_conns
/usr/sbin/no-oclean_partial_conns=1
指定是否要避免SYN(同步序列号)攻击。
directed_broadcast
/usr/sbin/no-odirected_broadcast=0
指定是否允许对网关进行定向广播。
设置为0有助于防止定向信息包到达远程网络。
icmpaddressmask
/usr/sbin/no-oicmpaddressmask=0
指定系统是否响应ICMP地址掩码请求。
禁用它可以防止通过源路由攻击进行访问。
ipforwarding
/usr/sbin/no-oipforwarding=0
指定内核是否应转发信息包。
禁用它可以防止重定向的信息包到达远程网络。
ipignoreredirects
/usr/sbin/no-oipignoreredirects=1
指定是否处理收到的重定向。
ipsendredirects
/usr/sbin/no-oipsendredirects=0
指定内核是否应该发送重定向信号。
禁用它可以防止重定向的信息包到达远程网络。
ip6srcrouteforward
/usr/sbin/no-oip6srcrouteforward=0
指定系统是否转发源路由IPv6信息包。
禁用它可以防止通过源路由攻击进行访问。
ipsrcrouteforward
/usr/sbin/no-oipsrcrouteforward=0
指定系统是否转发源路由信息包。
禁用它可以防止通过源路由攻击进行访问。
ipsrcrouterecv
/usr/sbin/no-oipsrcrouterecv=0
指定系统是否接受源路由信息包。
禁用它可以防止通过源路由攻击进行访问。
ipsrcroutesend
/usr/sbin/no-oipsrcroutesend=0
指定应用程序是否能够发送源路由信息包。
禁用它可以防止通过源路由攻击进行访问。
nonlocsroute
/usr/sbin/no-ononlocsrcroute=0
告诉“因特网协议”严格源路由信息包可以对本地网络以外的主机寻址。
禁用它可以防止通过源路由攻击进行访问。
tcp_icmpsecure
/usr/sbin/no-otcp_icmpsecurer=1
保护TCP连接,防御ICMP(因特网控制报文协议)源抑制和PMTUD(路径MTU发现)攻击。
检查ICMP消息的有效内容以测试TCP头的序号是否在可接受的序号范围内。
值:
0=关(缺省值);1=开。
ip_nfrag
/usr/sbin/no-oip_nfrag=200
指定一次在IP重新装配队列中可以保留的最大IP信息包分段数(缺省值200在IP重新装配队列中保留最多200个IP信息包分段)。
tcp_pmtu_discover
/usr/sbin/no-otcp_pmtu_discover=0
禁用它可以防止通过源路由攻击进行访问。
tcp_tcpsecure
/usr/sbin/no-otcp_tcpsecure=7
保护TCP连接,以防漏洞。
值:
0=无保护;1=向已建立的连接发送伪SYN;2=向已建立的连接发送伪RST;3=在已建立的TCP连接中注入数据;5–7=上述漏洞的组合。
udp_pmtu_discover
/usr/sbin/no-oudp_pmtu_discover=0
启用或禁用TCP应用程序的路径MTU发现。
禁用它可以防止通过源路由攻击进行访问。
MetalinkNote:
220974.1
Subject:
ORA-27300ORA-27301ORA-27302Troubleshooting
STATUS:
11
ORA-27500:
inter-instanceIPCerror
ORA-27300:
OSsystemdependentoperation:
port_createfailedwithstatus:
11
ORA-27301:
OSfailuremessage:
Resourcetemporarilyunavailable
ORA-27302:
failureoccurredat:
skgxpcini1
Sollution:
OSvendorissue
ORA-27153:
waitoperationfailed
ORA-27300:
OSsystemdependentoperation:
semopfailedwithstatus:
11
ORA-27302:
failureoccurredat:
sskgpwwait2
SeeBug1757458
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AIX 网络 参数