严格说来IPv4,实际上是端口耗尽吗?让我解释:
>看起来有65535个端口可供使用. 0不可用.
>我已经读过端口耗尽要求(src ip,src port,dst ip,dst port)元组是唯一的.
>要清楚并假设我可以通过sysctl net.ipv4.ip_local_port_range设置使用100%的临时端口
这就是问题:它是如何运作的?
>我可以从127.0.0.1:(x)到127.0.0.1:80有65k连接
>我可以从127.0.0.1:(x)到127.0.0.1:555有65k连接
>基本上再一次,问题是(srcip,srcport,dstip,dstport)必须是唯一的,正确的吗?
>我无法打开超过65k的连接,从IP“A”到IP“B”,端口“N”
>同样,单个IP无法打开超过65k的连接到我的网站服务器x.x.x.x:80,但是只要它们来自不同的源IP,我可以支持超过65k的连接?
最后,我对(传出的)临时端口和正在侦听的传入端口感到有点困惑.我意识到一旦建立了连接,连接的每一端都是一个同等的,但在此之前:
例如,如果(srcip,dstport)元组确实必须是唯一的,那么为什么我启用它,例如
net.ipv4.ip_local_port_range = 1024 65535
这允许使用1024-65535的临时端口,如果我有端口3306(例如MysqL)绑定的服务,它们有时会因为端口正在使用而无法启动.
这是否与以下事实有关:(这是我要求验证的声明):
>(srcip,dstport)对于端口范围为1-65535的每个连接都需要是唯一的(不关注操作系统对临时端口的使用)
>但是,对于要绑定的套接字,可以将其视为(srcip,*,*).或者换句话说,IP是否必须以任何理由绑定到该端口?
我可以验证上面的行为,即我使用上面的确切sysctl行,因为它我将MysqL移动到低于1024的端口,因为它偶尔会非常随机地无法重启,因为假设操作系统正在使用该端口(3306)对于一个短暂的港口.
解决方法
1.
Strictly IPv4 speaking,is port exhaustion actually possible?
是.例如,负载均衡路由器将所有连接发送到NAT IP地址.当您有许多SRC IP连接到单个DST IP的瓶颈时,可能会发生这种情况.
这意味着您的网络服务器可能有一堆连接,如:
root@buglab:~# netstat -pnt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 173.200.1.18:80 10.100.1.100:49923 ESTABLISHED 13939/Nginx: worker tcp 0 0 173.200.1.18:80 10.200.1.200:10155 ESTABLISHED 13939/Nginx: worker tcp 0 0 173.200.1.18:80 10.10.1.10:14400 ESTABLISHED 13939/Nginx: worker tcp 0 0 173.200.1.18:80 10.10.1.10:50652 ESTABLISHED 13939/Nginx: worker tcp 0 0 173.200.1.18:80 10.20.1.20:57554 ESTABLISHED 13939/Nginx: worker
那很好.但是,如果所有“外部地址”都相同,则可能导致问题(例如,“使用一个IP地址执行NAT< --->服务器的大型路由器”).
如果我不得不假设为什么短暂的端口耗尽不是常见的问题,我建议这是因为每个端口都需要一个监听服务和足够的资源来响应 – 另一个资源(内存,cpu)通常是瓶颈.
但是,在负载平衡公司工作时,我个人遇到了一些端口耗尽问题.
2.为什么使用的端口会出现侦听服务的问题?
“Which allows the use of ephemeral ports from 1024-65535,that if I have services that bind on port 3306 (MysqL,for example),they will sometimes fail to start because the port is in use.”
如果正在使用MysqL服务器,则无法绑定到该端口 – 例如localhost:3306或所有接口.例如,请参阅以下netstat输出中的0.0.0.0:80行?
root@buglab:~# netstat -lnp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 964/PHP-fpm.conf) tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1660/MysqLd tcp 0 0 0.0.0.0:842 0.0.0.0:* LISTEN 1317/inetd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 13938/Nginx
这意味着端口80正在侦听服务器本地的所有接口.如果另一个进程在我的Nginx服务器启动之前保留端口80,则Nginx将无法控制该端口,并且可能无法启动其启动过程.
通常,端口3306很好,因为监听服务具有从主机请求的预定义端口(或范围) – 例如,Web服务器的端口80和443.